， ~ 
在 线 学 习 资 料 支 持 
您 可 以 在 华为 企业 业务 网 站 获得 ELearning 课 程 、 培 训 教材 、 产 品 资料 、 软 件 工具 、 技 术 案 例 等 : 
1、E-Learning 课 程 : 登录 华为 疾 绪 常 习 网 益 ， 进 入 “ 允 为 克 荔 /在 绪 常 习 ” 栏 目 
免费 E-Learning 课 : 对 网 站 所 有 用 户 免费 开放 
职业 认证 E-Learning 课 : 通过 任何 一 项 职业 认证 即 可 学 习 所 有 职业 认证 培训 E-Learning 课 程 
渠道 赋 能 E-Learning 课 : 对 华为 企业 业务 合作 伙伴 免费 开放 
2、 培 训 教材 : 登录 华为 自 绪 党 习 克 益 ， 进 入 “华为 好 荔 [ 夯 盘 好 荔 ”， 在 具体 课程 页 面 即 可 下 载 教材 f 
华为 职业 认证 培训 教材 、 华 为 产品 技术 培训 教材 。 无 需 注册 即 可 下 载 
3、 华 为 在 线 公 开课 (LVC): http://support.huawei.com/ecommunity/bbs/10154479.html 
企业 网 络 、UC&C、 安 全 、 存 储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 公开 授课 
4、 产 品 资料 下 载 : El iii 二 
5、 软 件 工具 下 载 : http://support.huawei.comy/enterprise/#tabname=softwarecdewapload 











更 多 内 容 请 访问 : 
o http://learning.huawei.com/cn 
o http://support.hnuawei.com/enterprise/ 
o http://support.huawei.com/ecommunity/ 
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版 权 声 明 


版 权 所 有 @ 华为 技术 有 限 公司 2012。 保留 一 切 权利 。 
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华为 认证 体系 介绍 


依托 华为 公司 雄厚 的 技术 实力 和 专业 的 培训 体系 ， 华 为 认证 考虑 到 不 同 客户 
对 ICT 技 术 不 同 层次 的 需求 ， 致 力 于 为 客户 提供 实战 性 、 专 业 化 的 技术 认证 。 


根据 ICT 技 术 的 特点 和 客户 不 同 层次 的 需求 ， 华 为 认证 为 客户 提供 面向 二 三 
个 方向 的 四 级 认证 体系 。 人 


HCNA(HCDA) 认 证 定位 于 中 小 型 网 络 的 基本 配置 和 维护 。HCNA(HCDA) 
认证 包括 但 不 限于 :网 络 基 础 知识 流行 网 络 的 基本 连接 方法 基本 的 网 络 建造 ; 
基本 的 网 络 故 障 排 除 ; 华为 路 由 交换 设备 的 安装 和 调试 。 通 过 CNA(HCDA) 
认证 ,将 证 明 您 对 中 小 型 网 络 有 初步 的 了 解 ， 了 解 面向 中 小 型 企业 的 网 络 通 用 技 
术 ， 并 具备 协助 设计 中 小 企业 网 络 以 及 使 用 华为 路 由 交换 设备 实施 设计 的 能 力 。 
拥有 通过 HCNA(HCDA) 认 证 的 工程 师 ,意味 着 中 小 企业 有 能 力 完成 基本 网 络 搭 
建 ， 并 将 基本 的 语音 、 无 线 、 云 、 安 全 和 存储 集成 到 网 络 之 中 ， 满 足 各 种 应 用 对 
网 络 的 使 用 需求 。 


HCNP-Enterprise (HCDP-Enterprise) 认 证 定位 于 中 小 型 网 络 的 构建 和 管 

理 。 HCNP-Enterprise (HCDP-Enterprise) 认 证 包括 但 不 限于 :网 络 基础 知识 ; 
交换 机 和 路 由 器 原理 ;TCP/IP 协议 艇 ;路 由 棒 议 SS 访问 控制 ;网 络 故障 的 排除 ; 
华为 路 由 交换 设备 的 安装 和 调试 。 通 过 HENP<Enterprise (HCDP-Enterprise) 
认证 ,将 证 明 您 对 中 小 型 网 络 有 全 面 深入 的 子 解 ,掌握 面向 中 小 型 企业 的 网 络 通 
用 技术 ,并 具备 独立 设计 中 小 企业 网 络 以 及 使 用 华为 路 由 交换 设备 实施 设计 的 能 
力 。 拥 有 通过 HCNP-Enterprise (HGDP-Enterprise) 认 证 的 工程 师 ， 意味 着 中 
小 企业 有 能 力 完成 完整 网 络 的 搭建 \, 将 企业 中 所 需 的 语音 、 无 线 、 云 、 安 全 和 存 
储 全 面 地 集成 到 网 络 之 中 ， 并 且 能 满足 各 种 应 用 对 网 络 的 使 用 需求 ， 进 而 提供 较 
高 的 安全 性 、 可 用 性 和 可 靠 性 。 


HCIE-Enterprise 认证 定位 于 大 中 型 复杂 网 络 的 构建 、 优 化 和 管理 。 
HCIE-Enterprise 认证 包括 但 不 限于 : 不 同 网 络 和 各 种 路 由 器 交换 机 之 间 的 互联 ; 
复杂 连接 问题 的 解决 si 使 用 技术 解决 方案 提高 带宽 、 缩 短 相应 时 间 、 最 大 限度 地 
提高 性 能 、 加 强 安 全 性 和 支持 全 球 应 用 ; 复杂 网 络 的 故障 排除 。 通 过 
HCIE-Enterprise 认证 ， 将 证 明 您 对 大 型 网 络 有 全 面 深入 的 了 解 ， 掌 握 面向 大 型 
企业 网 络 的 技术 ;着 有 具备 独立 设计 各 种 企业 网 络 以 及 使 用 华为 路 由 交换 设备 实施 
设计 的 能 力 人 拥有 通过 HCIE-Enterprise 认证 的 工程 师 ,意味 着 大 中 企业 有 能 
独立 完成 完整 的 网 络 搭建 ， 将 企业 中 所 需 的 语音 、 无 线 、 云 、 安 全 和 存储 全 面 地 
集成 到 网 络 之 中 , 并且 能 满足 各 种 应 用 对 网 络 的 使 用 需求 ;能 够 提供 完整 的 故障 
排除 能 力 ; 能 根据 企业 和 网 络 技术 的 发 展 ,规划 企业 网 络 的 发 展 ， 并 提供 高 安全 
性 、 可 用 性 和 可 靠 性 。 


华为 认证 协助 您 打开 行业 之 窗 ,开启 改变 之 门 ,屹立 在 ICT 世 界 的 潮 头 浪 尖 ! 
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Ey 
且 后 
简介 
本 书 为 HCDP-IESN 认证 培训 教程 ， 适 用 于 准备 参加 HCDP-IESN 萎 试 的 学 
员 或 者 希望 系统 掌握 通用 交换 网 协议 原理 以 及 在 华为 通用 路 由 SEE 对 VRP 上 的 
实现 的 读者 。 
内 容 描 述 























本 书 共 包含 四 个 Module， 由 浅 入 深 地 介绍 了 通用 交换 技术 协议 原理 、MPLS 
技术 协议 原理 以 及 在 华为 VRP 上 的 配置 与 实现 注 国 有 时 重点 介绍 华为 以 太 网 交 
换 机 产品 及 网 络 运用 。 
Module 1 详细 介绍 了 VLAN、GVRP 原理 及 其 实现 ,包括 VLAN 二 层 互 通 和 
三 层 路 由 以 及 VLAN 航 套 (QinQ) 等 ， 帮 助 读者 全 面 深 入 地 了 解 VLAN 工作 
原理 及 其 在 VRP 上 的 配置 ; 
Module 2 对 STP 协议 进行 了 详细 的 描述 , 包括 STP、RSTP、MSTP 三 部 分 
内 容 ， 使 读者 掌握 STP 协议 工作 原理 以 及 在 VRP 上 的 实现 ; 

Module 3 详细 介绍 了 各 种 接 众 技术 原理 和 配置 ， 包 括 802.1x、DHCP 和 
RRPP， 帮 助 读者 对 接 入 找 玉 协议 有 一 个 全 面 的 了 解 ; 

Module 4 主要 介绍 MPLS、LDP 协议 基本 原理 等 ， 使 读者 熟悉 MPLS。 

本 书 引 导读 者 全 面 掌 据 企 业 级 交换 技术 及 其 在 华为 产品 中 的 实现 ， 读 者 也 可 
以 根据 自身 情况 选择 感 兴趣 的 章节 阅读 。 


读者 必 备 知识 背景 
为 不 更 好 地 掌握 本 书 内 容 ， 阅 读本 书 的 读者 应 首先 具备 以 下 基本 条 件 之 一 : 
(人 参加 过 HCDA 培训 
(2) ”通过 HCDA 考试 


(3)” 熟 悉 TCP/HP 协议 栈 和 以 太 网 基础 知识 
(4) “熟悉 以 太 网 交换 机 基本 工作 原理 
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本 书 常用 图 标 CS 





SS 


IPv6 路 由 器 SOHO 路 由 器 语音 模块 的 路 由 器 中 低 端 路 由 器 






























































































































核心 路 由 器 集线器 插座 式 交换 机 核心 交换 机 
边缘 交换 机 堆 秋 交换 机 


人 AP 大 功率 无 线 网 桥 


无 线 网 卡 接 入 服务 器 NS 防火 增 网 络 电话 系统 
令 
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四 令 庆 


Module 1 


四 令 庆 


VLAN 技 术 原 理 与 配置 








HCDP-IESN Module 1VLAN 


圈 前 
虚拟 局 域 网 (VLAN) 技术 为 以 太 网 引入 了 灵活 的 控制 手段 ， 
被 广泛 应 用 。 


本 文 旨 在 介绍 VLAN 及 相关 技术 的 基本 原理 和 实现 。 


4 





Copyright © 2012 Huawei Technologies Co Ltd. All rights reserved. 2 HUAWEI 





第 4 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IESN Module 1 VLAN 


培训 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 了解 VLAN 的 基本 原理 及 基本 配置 
。 了 解 VLAN 相 关 技 术 的 基本 原理 及 配置 
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合 有 目录 


1.VLAN 的 基本 原理 
2.VLAN 相 关 技 术 的 基本 原理 及 配置 


Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. 2 HUAWEI 
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HCDP-IESN Module 1 VLAN 


全 有 目录 


1. VLAN 的 基本 原理 
1.1 VLAN 起 源 
1.2 VLAN 数 据 帧 结构 
1.3 VLAN 划 分 方式 
1.4 VLAN 接 口 方式 


Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. i HUAWEI 
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HCDP-IESN Module 1VLAN 


VLAN 的 产生 原因 


以 太 网 缺少 转发 控制 手段 


NS 





所 en 
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. fr Wy pages 2 HUAWEI 
é S 


传统 的 以 太 网 交换 机 在 转发 数据 时 ， 采 用 源 地 址 学 习 的 方式 ， 自 动 学 习 
各 个 端口 连接 的 主机 的 MAC 地 址 ， 形 成 MAC 地 址 表 ， 然 后 依据 此 表 进 
行 以 太 网 帧 的 转发 。 整 个 转发 的 过 程 自动 完成 ， 所 有 端口 都 可 以 互 访 ， 
维护 人 员 无 法 控制 端口 之 间 的 转发 ,N 例 如 B 主 机 不 能 访问 A 主机 就 无 法 实 
现 。 该 网 络 存在 如 下 缺陷 : 
。 网 络 的 安全 性 差 。 由 于 各 个 端口 之 间 可 以 直接 互 访 ， 降 低 了 网 络 
的 安全 性 。 
。 网 络 效率 低 。 用 户 可 能 收 到 大 量 不 需要 的 报 文 ， 例 如 不 必要 的 广 
播报 文 ， 这 些 报 交 同 时 消耗 网 络 带宽 资源 和 客户 主机 CPU 资源 。 
。 业务 扩展 能 力 差 。 网 络 设备 平等 的 对 符 每 台 主 机 的 报 文 ， 无 法 实 
现 有 差别 的 服务 ， 例 如 无 法 优先 转发 用 于 网 络 管理 的 以 太 网 帧 。 
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VLAN 技 术 的 目标 





Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. 区 多 HUAWEI 


VLAN 技 术 把 用 户 划分 成 多 个 逻辑 的 网 络 《group) ， 组 内 可 以 通信 ， 组 
间 不 允许 通信 ， 二 层 转 发 的 单 播 、 组 播 、 阁 播报 文 只 能 在 组 内 转发 。 同 
时 ，VLAN 技 术 可 以 很 容易 地 实现 组 成 员 的 添加 或 删除 。 

即 VLAN 技 术 提 供 了 一 种 管理 手段 ， 控 制 终端 之 间 的 互通 。 如 上 图 ， 组 1 
和 组 2 的 PC 无 法 相互 通信 。 
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HCDP-IESN Module 1VLAN 


Permit VLAN 1 only 
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为 了 实现 转发 控制 ， 在 待 转发 的 以 太 网 帧 中 添加 VLAN 标 签 ， 然 后 设 定 

交换 机 端口 对 该 帧 和 标签 的 处 理 方式 ， 包 括 丢弃 帧 、 转 发 帧 、 添 加 标签 
、 移 除 标 签 。 

转发 帧 时 ， 检 查 以 太 网 报 文中 携带 的 VLAN 标 签 ， 是 否 为 该 端口 允许 通 
过 的 标签 ， 判 断 出 该 以 太 网 帧 是 否 能 够 从 端口 转发 出 去 。 上 图 中 ,假设 
有 一 种 方法 ，SWA 将 主机 A 发 出 的 所 有 以 太 网 帧 都 加 上 标签 5， 此 后 查 

询 二 层 转发 表 ， 根 据 目 的 MAS 地 址 将 该 帧 转发 到 SWB 连 接 的 端口 。 由 

于 在 该 端口 配置 了 仅 人 允许 VLAN 1 通过 ， 主 机 A 发 的 帧 将 被 丢弃 。 

即 支 持 VLAN 技 术 的 交换 机 ， 转 发 以 太 网 帧 时 不 再 仅仅 依据 目的 MAC 地 
址 ， 同 时 还 要 考虑 该 端口 的 VLAN 配 置 情况 ， 从 而 实现 对 二 层 转 发 的 控 
制 。 
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HCDP-IESN Module 1 VLAN 


VLAN 标 签 介绍 


2B 64-1500B 
TYPE ”DATA Untagged fa 


2B 64-1500B 


TYRE DATA FCS Tageedframe 





0x8100 


TPID 


SS 
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. f Xp 区 多 HUAWEI 





DA: Destination address; 

SA: Source Address 

TAG:VLAN TAG 

TPID: Tag Protocol ldentifier, 刀 字 节 ， 固 定 取 值 ，0x8100， 是 IEEE 定 
义 的 新 类 型 ， 表 明 这 是 一 个 携带 802.1Q 标 签 的 帧 。 

TCIl: Tag Control Information ) 2 字 节 。 帧 的 控制 信息 ， 详 细 说 明 如 下 


。 Priority: 3 比特 ， 表 示 以 太 网 帧 的 优先 级 。 一 共有 8 种 优先 级 ，0 
-7， 用 于 提供 有 差别 的 转发 服务 。 

。 CFI: Ganonical Format Indicator，1 比 特 。 用 于 令 牌 环 / 源 路 由 
FDDI 介 质 访问 中 指示 地 址 信息 的 比特 次 序 信息 ， 即 先 传送 的 是 
低 比 特 位 还 是 高 比特 位 。 

。VLANNdentified: VLAN ID，12 比 特 ， 取 值 从 0 到 4095。 
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如 何 生 成 VLAN 标 签 
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所 有 以 太 网 帧 在 交换 机 中 都 是 以 tagged frame 的 形式 流动 的 ， 即 某 端 口 
从 对 端 设备 收 到 的 帧 ， 有 可 能 是 untagged 的 ， 但 是 从 本 交换 机 其 它 端口 
转发 来 的 帧 ， 一 定 是 tagged 的 。 如 果 聊 到 的 是 tagged frame， 则 进入 转 
发 过 程 ， 如 果 该 端口 收 到 的 是 untagged frame， 则 必须 加 上 标签 。 以 下 
几 种 方法 可 以 确定 标签 中 的 VLANID 取 值 : 

。 基于 端口 : 网 络 管理 员 给 交换 机 的 每 个 端口 配置 PVID， 即 Port 
VLAN ID， 有 些 场合 称 为 端口 默认 VLAN。 如 果 收 到 的 是 
untagged 帧 ， 则 YLAN ID 的 取 值 为 PVID。 

。 基于 MAC 地 址 SS 网 络 管理 员 配 置 好 MAC 地 址 和 VLAN ID 的 映射 
关系 表 ， 如 果 收 到 的 是 untagged 帧 ， 则 依据 该 表 添 加 VLAN ID。 

。 基于 协议 s、 网 络 管理 员 配 置 好 以 太 网 由 中 的 协议 域 和 VLAN ID 的 
映射 天 系 表 4 如果 收 到 的 是 untagged 帧 ， 则 依据 该 表 添 加 VLAN 
ID: 

。 基于 了 予 网 : 根据 报 文中 的 IP 地 址 信息 ， 确 定 添加 的 VLAN ID。 

。` 基 于 策略 : 根据 上 面 几 种 划分 依据 组 合 进行 划分 。 

如 果 设 备 同 时 支持 多 种 方式 ， 一 般 情 况 下 ， 优 先 使 用 顺序 为 : 基于 策略 
全 基于 子 网 - 基于 协议 - 基于 MAC 地 址 - 基于 端口 。 目 前 常用 的 是 基于 
端口 的 方式 。 
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VLAN 划 分 方式 


根据 端口 划分 : 基于 端口 的 VLAN 

根据 MAC 划 分 : 基于 MAC 的 VLAN 

根据 IP 进 行 划分 : 基于 IP 子 网 的 VLAN 

根据 协议 划分 : 基于 协议 的 VLAN 

根据 几 种 划分 依据 组 合 进 行 划 分 : 基于 策略 的 VLAN 





Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. Page10 2 HUAWEI 





HC Series HUAWEI TECHNOLOGIES 第 13 页 


HCDP-IESN Module 1VLAN 


基于 站 口 划分 VLAN 


VLAN 信 息 表 


VLAN 10 | VLAN 20 
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基于 端口 划分 VLAN， 是 最 简洁 、 最 广泛 使 用 的 划分 方式 ， 可 以 把 多 个 
端口 划 入 一 个 VLAN 。 
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基于 MAC 划 分 VLAN 


VLAN 信 息 表 





VLAN 10 | VLAN 20 


主机 B MAC 
主机 A MAC 主机 D MAG 
主机 C MAC 
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基于 大 的 MAC 地 址 划分 VLAN: 交换 机 根据 报 文 的 源 MAC 来 确定 报 文 应 
该 在 哪个 VLAN 中 进行 转发 。 实 际 上 就 是 根据 终端 设备 的 MAC 来 划分 
VLAN。 
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基于 IP 网 段 划 分 VLAN 


VLAN 信 息 表 





| VLAN 10 | VLAN 20 | VLAN 30 X 








主机 B 主机 C 
[| IP 
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。 基于 IP 网 段 划分 VLAN ， 即 根据 报 交 源 IP 及 掩 码 来 确定 报 文 所属 
VLAN。 比 如 ， 可 以 配置 1.1.1.0/2 和 4 加 入 VLAN 10; 1.1.2.0/24 加 
入 VLAN 20; 1.1.3.0/24 加 入 VBAN 30; 再 配置 某 个 端口 属于 这 
些 VLAN 。 在 这 个 端口 上 ， 对 于 收 到 的 不 带 VLAN 标 签 的 报 文 : 
源 ip 在 1.1.1.0/24 内 的 报 文 将 被 打上 VLAN10 标 签 。 在 1.1.2.0/24 
内 的 将 被 打上 VLAN20 标 签 。 在 1.1.3.0/24 内 的 将 被 打上 VLAN30 
标签 。 
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基于 协议 划分 VLAN 


VLAN 信 息 表 





运行 IPX 协 议 运行 IP 协 议 
运行 IPX 协 议 
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协议 VLAN 即 根据 端口 接收 到 的 报 文 所 属 的 协议 〈 族 ) 类 型 及 封装 格式 
来 给 报 文 分 配 不 同 的 VLAN ID。 如 IP、IPX< AppleTalk 协 议 族 ; 
Ethernet ||，802.3，802.3/802.24LLCW 802.3/802.2 SNAP 等 封装 格式 
。 设 备 对 端口 上 收 到 的 untagged 的 报 文 ， 判 断 其 协议 类 型 ， 打 上 对 应 的 
VLAN 标 签 ， 并 在 这 个 VLAN 内 转发 。 
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基于 策略 划分 VLAN 


VLAN 信 息 表 


Port 1 
Port 4 
VLAN 10 VLAN 20 : 
ort -一 
ip2tMAc2rporz | ,vaca ll 
+ +Pol 
IP1+ MAC1 | Ps+MAC3+Port3 ee 





IP1, > 


IP2,MAC2 IP 4, MAC 4 


IP 3, MAC 3 
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策略 VLAN: 对 于 匹配 了 策略 IP+MAC 或 者 IP+MAC+PORT 的 Untagged 报 
文 进 行 VLAN 划 分 。 
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VLAN 接 口 类 型 


Access 端口 
Trunk 端口 


Hybrid 端口 
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引入 VLAN 功 能 后 ， 交 换 机 的 端口 被 划分 为 3 种 类 型 : Acess 端 口 、 
Trunk 端 口 、Hybrid 端 口 。 
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Access 端 口 VLAN 属 性 


[Quidway-2-GigabitEthernet2/0/2]display this 
# 
interface GigabitEthernet2/0/2 
port link-type access Ee i 
port default vlan 2 Access 端 口 ， 一 般 用 于 连接 主机 
# 
return 
端口 默认 VLAN 为 2,Untagged 帧 
添加 VLAN 2 后 再 转发 
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Access 端 口 ， 用 于 连接 主机 ， 有 如 下 特点 3 
。 仅仅 允许 VLAN ID 与 端口 的 RVID 相 同 的 数据 帧 通过 本 端口 
。 如 果 该 端口 收 到 的 对 端 设备 发 送 的 帧 是 untagged， 交 换 机 将 强 
制 加 上 该 端口 的 PVID 
。 Access 端 口 发 往 对 端 设 备 的 以 太 网 帧 永远 是 untagged frame 
。 很 多 型 号 的 交换 机 默认 端口 类 型 是 access，PVID 默 认 是 1， 
VLAN 1 由 系统 创建 ， 不 能 被 删除 。 
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HCDP-IESN Module 1 VLAN 


[Switch-Ethernet0/1]port link-type access 
[Switch-Ethernet0/2]port link-type access 


\ 配 置 端 口 类 型 


Port-0/1:VLAN-3 [Switch]l]vlan 3 


| [Switch]lvlan 5 
\\ 创 建 VLAN 


ort-0/2:VLAN-5 


[Switch-Ethernet0/1]port defaultAvxlan SS 
[Switch-Ethernet0/2]port default vlan 5 


N 设 置 端口 PVID 
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可 以 通过 下 述 方法 设置 access 端 口 PVID 

在 创建 VLAN 后 ， 将 access 端 口 加 入 到 该 YEAN 中 
[Switch]vlan 3 

[Switch-vlan3]port ethernet 0/1 

[Switch]vlan 5 

[Switch-vlan5]port etherneti0/2 


Mb huawel 
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Trunk 尊 口 VLAN 属 性 


[Quidway-GigabitEthernet2/0/3]display this 
# 

interface GigabitEthernet2/0/3 
port link-type trunk 

port trunk pvid vlan 3 S 
port trunk allow-pass vlan 5 100 为 untagged 报 广 
undo negotiation auto 加 上 默认 VLAN 
speed 100 

# 


return 


端口 为 trunk 类 型 


允许 多 个 VLAN 通 过 
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Trunk 端 口 : 用 于 连接 交换 机 ， 在 交换 机 记 间 传递 tagged frame， 可 以 
自由 设 定 允 许 通 过 的 多 个 VLAN ID 这些 旧 可 以 与 PVID 相 同 ， 也 可 以 不 
同 。 
Trunk 端 口 发 送 Tagged frame 向 其 它 设备 时 ， 规 则 如 下 : 
该 Tagged frame 中 的 VLAN ID 取 值 未 出 现在 VLAN permitted 列 表 中 ， 则 
丢弃 该 帧 。 如 果 在 列表 中 , J 见 上 
。 该 Tagged frame 牛 的 VLAN ID 取 值 与 本 端口 的 PVID 相 同 ， 则 移 
除 标 签 后 发 往 其 它 设 备 。 由 于 每 个 端口 的 PVID 取 值 是 唯一 的 ， 
因此 仅仅 在 这 二 种 情况 下 ，Trunk 端 口 发 往 其 它 设备 的 帧 是 
untagged frame ; 
。 该 Taggedframe 中 的 VLAN ID 取 值 与 本 端口 的 PVID 不 同 ， 则 不 
做 任何 改变 ， 发 往 对 端 设 备 。 
VLAN passing: 一 般 情 况 下 ，VLAN passing 与 VLAN permited 查 询 内 
容 相 同 。 但 是 通过 GVRP 协 议 动 态 注册 的 VLAN ， 如 果 未 在 端口 进行 注 
有 册 4 则 该 VLAN ID 不 会 出 现在 VLAN passing 列 表 中 ， 相 应 的 帧 也 不 能 从 
该 端 朋 转发 出 去 。 
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配置 Trunk 端 口 属性 


SWA SWB 


王 Port-0/3 Port-0/3 好 | 


[Switch]vlan 3 
\\ 创 建 VLAN 





[Switch-Ethernet0/3]port link-type trunk 
\ 配 置 端口 类 型 


[Switch-Ethernet0/3]port trunk pvid vlan 3 
\ 配 置 Trunk-Link 端 口 PVID 


[Switch-Ethernet0/3]port trunk allow-pass'vlam 5 
\ 配 置 Trunk-Link 所 允许 通过 的 VLAN 
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如 图 所 示 ， 可 以 通过 以 下 命令 配置 Trunk 端 同属 性 : 

\\ 创 建 VLAN 

[Switch]vlan 3 

\ 配 置 端口 类 型 

[Switch-Ethernet0/3]port link<type trunk 

\ 配 置 Trunk-Link 端 口 PVID 
[Switch-Ethernet0/3]porttrunk pvid vlan 3 

\ 配 置 Trunk-Link 所 分 许 通 过 的 VLAN (permitted VLAN) 
[Switch-Ethernet0/3]port trunk permit vlan 5 
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Hybird 端 口 VLAN 属 性 


[Quidway-GigabitEthernet2/0/6]display this 
# 端口 默认 模式 为 Hybrid 
interface GigabitEthernet2/0/6 
port hybrid pvid vlan 5 对 untagged 报 文 加 VLAN 标 签 以 
port hybrid tagged vlan 100 101 
port hybrid untagged vilan 10 to 12 RR 
指 接口 在 发 送 帧 时 不 将 

贞 中 的 标签 移 除 

ee 帧 中 的 标签 移 除 





移 除 标签 后 转发 
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Access 端 口 发 往 其 他 设备 的 报 文 ， 都 是 untagged frame， 而 trunk 端 口 
仅 在 一 种 特定 情况 下 才能 发 出 untagged frame， 其 它 情况 发 出 的 都 是 
tagged frame。 某 些 应 用 中 ， 可 能 希望 能 够 灵活 的 控制 VLAN 标 签 的 移 
除 。 例 如 ， 在 本 交换 机 的 上 行 设 备 不 支持 VLAN 的 情况 下 ， 和 希望 实现 各 
个 用 户 端口 相互 隔离 。 

Hybrid 端口 可 以 灵活 的 控制 MEAN 标 签 的 移 除 情况 。 例 如 如 果 待 转发 的 
帧 中 的 VLAN ID 是 3， 则 按照 trdnk 端 口 的 转发 模式 转发 ; 如 果 是 4， 则 移 
除 标签 4 后 再 转发 。 
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配置 Hybrid 端口 


[Quidway-Ethernet1/0/1]port link-type hybrid 
[Quidway-Ethernet1/0/1]port hybrid pvid vlan 2 
[Quidway-Ethernet1/0/1]port hybrid untagged 

vlan 2 以 


[Quidway-Ethernet1/0/24]port link-type hybrid 
[Quidway-Ethernet1/0/24]port hybrid pvid vlaf 


[Quidway-Ethernet1/0/24]port hybrid untagged 
vlan 3 


[Quidway-Ethernet2/0/0]port link-type hybrid 
[Quidway-Ethernet2/0/0]port hybrid pvid 全 an 
99 

[Quidway-Ethernet2/0/0]port hybrid Wantagged 
vlan 2 to 3 
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如 果 某 Hybrid 端口 的 tagged VLAN 是 non633 而 Untagged VLAN 只 有 一 个 
取 值 ， 则 该 端口 与 access 端 口 功能 相同 。 同 理 ， 如 果 端 口 没 有 配置 
untagged VLAN ， 则 与 trunk 端 口 功 能 相同 。 

如 果 将 交换 机 的 所 有 接 入 口 设置 不 同 的 VLAN ， 例 如 2，3.……: 24， 上 行 
口 Untagged VLAN 1D 列表 为 2，3N.…. 24， 则 可 以 实现 用 户 侧 相 互 隔离 
， 提 高 安全 性 ， 而 上 行 帧 为 untagged frame， 满 足 与 上 行 设备 互通 的 要 
上 图 中 的 配置 可 以 实现 端 周 14/0/1 和 端口 1/0/24 的 隔离 ， 但 是 都 可 以 与 上 
行 设备 通信 ， 且 上 行 帧 是 untagged frame。 

Ntagged VLAN 配置 示例 

[Quidway-Etherriet2/0/0 ] port hybrid tagged vlan 3 
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合 有 目录 


VLAN 的 基本 原理 
VLAN 相 关 技 术 的 基本 原理 及 配置 
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例 目 录 


2. VLAN 相 关 技 术 的 基本 原理 及 配置 
2.1 Mux VLAN 基本 原理 及 配置 
2.2 Super VLAN 原 理 
2.3 ARP Proxy 
2.4 VLAN mapping 
2.5 端口 隔离 
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Mux VLAN 基 本 原理 


MUX VLAN 提供 了 一 种 在 VLAN 的 端口 间 进行 二 
的 机 制 。 


部 门 A 部 门 B 
VLAN2 VLAN3 
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比如 在 企业 网 络 中 ， 客 户 端口 可 以 和 服务 器 端口 通讯 ， 但 客户 端口 之 间 


不 能 互相 通讯 。 
MUX VLAN 分 为 主 VLAN 和 从 VLAN ， 淮 VLAN 又 分 为 互通 型 从 VLAN 
和 隔离 型 从 VLAN。 


主 VLAN 与 从 VLAN 之 间 可 以 相互 通信 ; 互通 型 从 VLAN 内 的 端口 之 间 可 
以 互相 通信 ， 隔 离 型 从 VLAN 内 的 端口 之 间 不 能 互相 通信 ， 不 同 从 VLAN 
之 间 不 能 互相 通信 。 

部 门 A 的 员工 之 间 不 能 互 访 而 部 门 B 的 员工 之 间 可 以 互 访 ， 但 是 部 门 A 
和 部 门 B 不 能 互 访 , /而 公司 所 有 员工 均 可 以 访问 公司 的 服务 器 。 对 于 该 
应 用 ， 可 以 使 用 MUXVLAN 来 实现 。 可 以 将 部 门 A 的 员工 加 入 到 隔离 型 
从 VLAN， 而 将 部 门 B 的 员工 加 入 互通 型 从 VLAN， 服 务 器 加 入 主 VLAN 


o 





第 28 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IESN Module 1 VLAN 


Mux VLAN 配置 


[Quidway]vlan batch 2 3 10 
// 创 建 VLAN 
[Quidway]vlan 10 
[Quidway-vlanl0]mux-vlan 
E1/0/4 // 配 置 主 VLAN XX 
3 [Quidway-vlanl0] subordinate group 3 
// 配 置 MUX VLAN 中 的 互通 型 从 VLAN 


[Quidway-vlanl10] subordinate separate 2 
// 配 置 MUX VLAN 中 的 隔离 型 从 VLAN 

[Quidway] interface gigabitethernet1/0/1 
[ouidway-GigabitEthernet1/0 及 JPortimux- 
vlan enable 
[Quidway-GigabitEthernet1/0/2]port mux- 
vlan enable 
[Quidway-GigabitEthernetl/0/3]port mux- 
vlan enable 
[Quidway-GigabitEthernet170V 4]Port mux- 
vlan enable 


// 使 能 端口 下 的 MUX-VLAN 功 能 
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ARP Proxy 概 述 


ARP (Address Resolution Protocol) 用 于 将 一 个 IP 地 址 
映射 到 正确 的 MAC 地 址 。 


一 个 物理 网 络 的 子 网 (Subnet) 中 的 源 主机 向 另 一 个 物理 
网 络 的 子 网 中 的 目的 主机 发 ARP request， 和 源 主机 直 连 
的 网 关 用 自己 接口 的 MAC 地 址 代替 目的 主机 回 ARP reply 
这 个 过 程 称 为 ARP 代理 。 
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ARP Proxy 的 基本 过 程 如 下 : 

源 主机 向 另 一 物理 网 络 的 子 网 的 目的 主机 发 ARP 请 求 ; 

与 源 主 机 网 络 相连 的 网 关 已 经 使 能 ARP PROXY 功 能 ， 如 果 存 在 到 达 目 
的 主机 的 正常 路 由 ， 则 代替 目的 主机 以 自己 接口 的 MAC 地 址 回应 ; 
源 主机 向 目的 主机 发 送 的 IP 报 文 都 发 给 了 路 由 器 ; 

路 由 器 对 报 文 做 正常 的 IP 路 由 转发 ; 

发 往 目的 主机 的 IP 报 文通 过 网 络 ， 最 终 到 达 目 的 主机 。 
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ARP Proxy 基 本 原理 


当主 机 上 没有 配置 缺 省 网 关 地 址 , 它 可 以 发 送 一 个 ARP 请 
求 ,请 求 目的 主机 的 MAC 地 址 。 使 能 ARP Proxy 功 能 的 交 
换 机 收 到 这 样 的 请 求 后 ， 会 使 用 自己 的 MAC 地 址 作为 该 4 
ARP 请 求 的 回应 ， 使 得 处 于 不 同 物 理 网 络 但 网 络 号 相同 的 


主机 之 间 可 以 正常 的 相互 通信 。 
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ARP Proxy 方 式 





ARP Proxy 方 式 解决 的 问题 
路 由 式 ARP Proxy 解决 同一 网 段 不 同 物理 网 络 上 计算 机 的 互通 问题 。 





VLAN 内 ARP Proxy 解决 相同 VLAN 内 ， 且 VLAN 配置 用 户 隔离 后 的 网 
络 上 计算 机 互通 问题 。 


VLAN 间 ARP Proxy 解决 不 同 VLAN 之 间 对 应 计算 机 的 三 层 互通 问题 。 
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路 由 式 ARP Proxy 


0De0-fc39-80bb 
172.16.4.4/16 


0De0-fc39-80aa -HostA ost B 
172.16.2.2/16 XX 
SWA 


ARP proxy ARP proxy 


Vlanif2 Ja 


0De0-fc39-80bb 
0De0-fc39-80ab 


172.16.4.1/24 
和 172.16.2.1/24 a 
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路 由 式 ARP Proxy 就 是 使 那些 在 同一 网 段 却 不 在 同一 物理 网 络 上 的 计 
算 机 或 交换 机 能 够 相互 通信 的 一 种 功能 。 

在 实际 的 应 用 中 ， 如 果 连 接 交 换 机 的 主机 上 没有 配置 缺 省 网 关 地 址 ， 数 
据 将 无 法 转发 。 

路 由 式 ARP Proxy 可 以 解决 这 个 问题 ， 主 机 发 送 一 个 ARP 请 求 (请 求 目 
的 主机 的 MAC 地 址 )， 

使 能 ARP Proxy 功 能 的 交换 机 收 到 这 样 的 请 求 后 ， 会 使 用 自己 的 MAC 地 
址 作为 该 ARP 请 求 的 回应 汰 以 此 来 欺骗 主机 进行 数据 转发 。 

使 能 ARP Proxy 功 能 的 交换 机 还 可 隐藏 物理 网 络 的 细节 ， 使 得 处 于 不 同 
物理 网 络 但 网 络 号 相同 的 Ethernet A 和 Ethernet B 的 内 部 主机 之 间 可 以 
正常 的 相互 通信 。 

由 于 HostA 只 有 46 人 位 掩 码 ， 它 认为 自己 直 连 到 172.16.0.0 网 段 ， 当 
HostA 需要 与 172.16.0.0 网 段 上 的 设备 例如 HostB 通信 时 ， 它 使 用 ARP 
请 求 HostB* 的 物理 地 址 。 由 于 交换 机 不 转发 广播 ，HostB 收 不 到 HostA 
发 出 的 ARP 请 求 。 如 果 在 SwitchA 的 接口 VLANIF2 上 使 能 路 由 式 Proxy 
ARP、 由 SwitchA 转发 HostA 与 HostB 之 间 的 IP 报 文 ，HostA 就 可 以 与 
HoestB 互通 了 。 
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VLAN 内 ARP Proxy 


SWA 


GE1/0/0 
VLANIF10(ARP Proxy) 
172.16.2.10/24 


HOSTA HOSTB 
poe 472.16.2.20/24 172.16.2.30/24 


VLAN 10 
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如 果 两 个 用 户 属于 相同 的 VLAN， 但 VLAN 内 配置 了 用 户 隔离 。 用 户 间 要 
互通 ， 需 要 在 关联 了 VLAN 的 接口 上 启动 VEAN 内 Proxy ARP 功 能 。 

若 交换 机 的 接口 使 能 了 VLAN 内 Phexy ARP 功 能 ， 接 口 在 接收 到 目的 地 
址 不 是 自己 的 ARP 请 求 报 文 后 筷 交 换 机 并 不 立即 丢弃 该 报 文 ， 而 是 查找 
该 接口 的 ARP 表 项 。 如 果 满 足 代理 条 件 ， 则 将 交换 机 的 MAC 地 址 发 送 给 
ARP 请 求 方 。 

VLAN 内 Proxy ARP 主 要 用 于 配置 了 用 户 隔离 的 VLAN 内 的 用 户 间 互 通 。 
HOST A 和 HOST B 是 DSBXM 设备 下 的 两 个 用 户 。 连 接 HOST A 和 
HOST B 的 两 个 接口 在 DSLAM 上 属于 同一 个 VLAN10。 由 于 在 DSLAM 
上 配置 了 VLAN 内 不 同 接 口 彼此 隔离 ， 因 此 HOST A 和 HOST B 不 能 

接 在 二 层 互 通 。 

如 果 在 S5700 上 创建 接口 VLANIF10。 在 VLANIF10 上 使 能 VLAN 内 
Proxy ARP>HOST A 和 HOST B 就 可 以 在 三 层 互通 了 。VLANIF10 的 IP 
地 址 与 VSAN10 中 的 主机 IP 地 址 必须 在 同一 个 网 段 。 
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VLAN 间 ARP Proxy 


SWA 


GE1/0/0 
VLANIF30(ARP Proxy 
172.16.2.10/24 


上 VLANIF 20 
VLANIF 10 ~ 172.16.2.30/24 
172.16.2.20/24 


HOSTB 


VLAN 20 
VLAN 10 





Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. Page32 2 HUAWEI 


如 果 两 个 用 户 属于 不 同 的 VLAN ， 用 户 间 要 进行 三 层 互 通 ， 需 要 在 关联 
了 VLAN 的 接口 上 启动 VLAN 间 Proxy ARP 功 能 。 

若 交 换 机 的 接口 使 能 了 VLAN 间 Proxy ARP 功能， 接口 在 接收 到 目的 地 
址 不 是 自己 的 ARP 请 求 报 文 后 ,交换 机 并 不 立即 丢弃 该 报 文 ， 而 是 查找 
该 接口 的 ARP 表 项 。 如 果 满足 代理 条 件 ， 则 将 交换 机 的 MAC 地 址 发 送 给 
ARP 请 求 方 。 

VLAN 间 Proxy ARP 主 要 用 于 : 

使 得 处 于 不 同 VLAN 的 用 总 进行 三 层 通信 。 

可 在 Super VLAN 对 应 的 VLANIF 接 口上 启动 VLAN 间 Proxy ARP 功 能 ， 
实现 Sub VLAN 间 用 户 瑟 通 。 

如 图 所 示 : 

HOST A 和 HQST B 是 DSLAM 设 备 下 的 两 个 用 户 。 由 于 连接 HOST A 和 
HOST B 的 两 个 接口 在 DSLAM 上 属于 不 同 的 VLAN， 因 此 HOST A 和 
HOST 如 不 能 直接 实现 二 层 互 通 。 

如 果 在 SWA 上 创建 Super VLAN 30， 将 VLAN10 和 VLAN20 加 入 
VKAN30， 并 且 创 建 接口 VLANIF 30， 在 VLANIF 30 上 使 能 VLAN 间 
ProxyARP，HOST A 和 HOST B 就 可 以 实现 三 层 互通 了 。VLAN IF 30 
的 IP 地 址 与 VLAN10 和 VLAN20 中 的 主机 IP 地 址 在 同一 个 网 段 。 
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Super VLAN 原 理 


VLAN 聚 合 ， 只 在 super-VLAN 接口 上 配置 IP 地 址 ， 而 不 必 为 每 个 sub- 

VLAN 分 配 IP 地 址 。 所 有 sub-VLAN 共用 IP 网 段 ， 解 决 了 IP 地 址 资源 

3| 和 问题。 

浪费 的 问题 Super VLAN 10 XX 
Vlanif10:10.1.1.1/24 





i 以 
10.1.1.2/24 和 9 .3124 101T2/24 10.1.1.2/24 


网 关 :10.1.1.1/24 
Sub-van: VLAN 2 


网 关 :10.1.1.1/24 
Sub-vlan: VLAN 3 
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通过 VLAN 接 口 实现 VLAN 间 通信 时 ， 需 要 为 每 个 VLAN 的 VLAN 接 口 配 
置 一 个 IP 地 址 。 如 果 VLAN 很 多 ， 将 占用 许多 IP 地 址 资源 ， 导 致 |P 地 址 
的 浪费 。 

VLAN aggregation 就 是 在 一 个 物理 网 络 内 ， 用 多 个 VLAN 隔离 广播 域 
， 使 不 同 的 VLAN 属 于 同一 个 子 网 % 

用 于 隔离 广播 域 的 VLAN 叫做 sub-VLAN ， 与 该 子 网 对 应 的 VLAN 岂 做 
super-VLAN。 多 个 sub-VLANE 组 成 一 个 super-VLAN。 

如 图 所 示 ，super-VEAN10 由 sub-VLAN2 和 sub-VLAN3 组 成 。sub- 
VLAN2、sub-VLAN3 和 super-VLAN10 属 于 同一 个 子 网 10.1.1.0/24。 
super-VLAN10 的 Vlanif 10 的 接口 地 址 作为 sub-VLAN 2 和 sub-VLAN 3 包 
含 的 主机 的 网 关 地 址 。 

不 同 sub-VLAN 平 的 主机 不 能 互通 。 如 果 互 通 ， 需 要 在 Super-VLAN 的 
VLAN 接口 卡 使 能 ARP Proxy。 
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VLAN Mapping 概 述 


VLAN Mapping 也 叫做 VLAN translation ， 可 以 实现 在 用 


户 VLAN ID (私有 VLAN) 和 运营 商 VLAN ID( 业 务 VLAN， 
也 可 以 说 是 公有 VLAN) 之 间 相 互 转换 的 一 个 功能 。 4 
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VLAN Mapping 原 理 


VLAN Mapping < 
from 10 to 100 
i 


VLAN Mapping 
from 100 to 10 
下 


1 
VLAN 100 
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VLAN Mapping 发 生 在 报 文 从 入 端口 接收 进来 之 后 ， 从 出 端口 转发 出 去 
之 前 。 

当 在 端口 配置 了 VLAN ID 映射 后 六 端口 在 向 外 发 送 本 地 VLAN 的 帧 时 ， 
将 帧 中 的 VLAN Tag 替换 成 外 部 VLAN 的 VLAN Tag; 在 接收 外 部 VLAN 
的 帧 时 ,将 帧 中 的 VLAN Tag 替 换 成 本 地 VLAN 的 VLAN Tag， 这 样 不 同 
VLAN 间 就 实现 了 互相 通信 

如 图 所 示 ， 当 在 端口 GE4/0/ 导 上 F 配 置 了 VLAN100 和 VLAN10 映射 后 ， 
端口 在 向 外 发 送 VLAN100\ 的 帧 时 ， 将 帧 中 的 VLAN Tag 替换 成 VLAN10 
的 VLAN Tag; 在 接收 YEAN10 的 帧 时 ， 将 帧 中 的 VLAN Tag 替换 成 
VLAN100 的 VLAN Tag， 这 样 VLAN100 和 VLAN10 就 实现 了 互相 通信 


o 
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VLAN Mapping 的 配置 


[Quidway] interface gigabitethernet 2/0/1 
[Quidway-GigabitEthernet2/0/1]port link-type trunk 
/ /配置 接 口 的 类 型 XX 
[Quidway-GigabitEthernet2/0/1]port trunk allow-pass vlan 

100 
// 配 置 接口 允许 通过 的 VLAN， 为 mapping 后 的 VLAN 
[Quidway-GigabitEthernet2/0/l1]qing vlan-translation enable 
// 使 能 接口 VLAN 转 换 功 能 


[Quidway-GigabitEthernet2/0/1]port vlan-mapping vlan 1 to 
20 map-vlan 100 


// 配 置 接口 2/0/1. 上 VLAN 1~20 的 报 文 mapping 成 VLAN1009 
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端口 隔离 


端口 隔离 是 交换 机 端口 之 
间 的 一 种 访问 控制 安全 控 
制 机 制 。 
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如 图 要 实现 不 同 端口 接 入 的 PC 之 间 不 能 琶 访 <(PC 属 于 相同 的 VLAN) 
， 而 所 有 的 PC 都 能 够 通过 上 行 的 交换 机 访问 网 络 ， 可 以 通过 配置 端口 
GE3/0/1 、GE3/0/2、GE3/0/3 之 间 端 加 隔离 ，GE5/0/0 和 端口 GE3/0/1 
、GE3/0/2、GE3/0/3 之 间 不 隔离 ,来 实现 此 安全 控制 需求 。 
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端口 隔离 配置 


[Quidway] port-isolate mode all 


/配置 端口 隔离 模式 


GE2/0/1 [Quidway] interface gigabitethernet2/0/1 
[Quidway-GigabitEthernet2/0/1]port- 
isolate enable 


// 在 端口 GE2/0/1 使 能 端口 隔离 功能 


Quidway-GigabitEthernet2/0/1]interface 
gigabitethernet2/0/2 
办 公 区 A 办 公 区 B [Quidway-GigabitEthernet2/0/2IJport= 
VLAN2, 3 VLAN2, 3 isolate enable 


// 在 端口 GE2/0/2 使 能 端口 隔离 功能 
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如 图 所 示 ， 需 要 配置 办 公 区 A 和 办 公 区 B 相 癌 隔 离 。 办 公 区 A 可 能 有 多 个 
VLAN 的 用 户 ， 办 公 区 B 也 可 能 有 多 个 VIAN 的 用 户 ， 可 以 通过 配置 端口 
隔离 来 实现 A，B 的 隔离 。 

Mux VLAN 可 以 配置 VLAN 内 的 用 户 间 的 相互 隔离 或 者 互通 ， 

端口 隔离 则 是 物理 层次 上 的 隔离 \ 是 基于 端口 ， 配 置 端口 隔离 后 ， 无 论 
是 那个 LAN ， 两 个 端口 间 都 不 能 通信 。 
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@ 冲 题 


Mux VLAN 内 分 几 种 类 型 的 VLAN? 
什么 叫 ARP Proxy ? 

VLAN mapping 的 作用 是 什么 ? 
端口 隔离 的 作用 是 什么 ? 
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Q: Mux VLAN 内 分 几 种 类 型 的 VLAN? 
A:Mux VLAN 分 为 主 VLAN 和 从 VLAN， 从 VLAN 又 分 为 隔离 型 从 VLAN 和 和 
互通 型 从 VLAN。 


Q: 什 么 叫 ARP Proxy? 

A: 一 个 物理 网 络 的 子 网 (Subnet) 中 的 源 主机 向 另 一 个 物理 网 络 的 子 
网 中 的 目的 主机 发 ARPyrequest， 和 源 主机 直 连 的 网 关 用 自己 接口 的 
MAC 地 址 代替 目的 主机 回 ARP reply， 这 个 过 程 称 为 ARP 代 理 。 


Q:VLAN mapping 的 作用 是 什么 ? 
A:VLAN mapping 是 可 以 实现 在 用 户 VLAN ID (私有 VLAN) 和 运营 商 
VLAN ID 人 业务 VLAN, 也 可 以 说 是 公有 VLAN) 之 间 相 互 转换 的 一 个 功能 。 


Q:/ 应 征 隔 离 的 作用 是 什么 ? 
A: 端口 隔离 是 交换 机 端口 之 间 的 一 种 访问 控制 安全 控制 机 制 , 用 于 控制 
两 个 物理 端口 的 相互 访问 权限 。 
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前 
QinQ 协 议 在 用 户 私 网 VLAN tag 之 外 封装 公 网 VLAN tag， 在 
公 网 中 报 文 只 根据 公 网 VLAN Tag 传 播 。QinQ 为 用 户 提供 一 
种 较为 简单 的 二 层 VPN 隧 道 。 本 文 旨 在 介绍 QinQ 的 基本 原理 X 
和 实现 。 
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培训 目标 


学 完 本 课程 后 ， 您 应 该 能 : 

。 了解 QinQ 的 基本 原理 和 实现 方式 
。 学 会 QinQ 的 简单 配置 

。 掌握 QinQ 技 术 的 应 用 
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例 目 录 


1，QinQ 概 述 
2. QinQ 基 本 原理 





3，QinQ 配 置 
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QinQ 概 述 


什么 是 QinQ 

。 基于 802.1 Q 封 装 的 隧道 协议 

。 报 文 封装 双 层 VLAN Tag 

QinQ 优 点 

。 解决 日 益 紧 缺 的 公 网 VLAN ID 资源 问题 
。 用户 可 以 规划 自己 的 私 网 VLAN ID 

。 提供 一 种 较为 简单 的 二 层 VPN 解 决 方案 
。 使 用 户 网 络 具 有 较 高 的 独立 性 
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QinQ 是 基于 802.1 Q 封 装 的 隧道 协议 ， 基 核心 思想 是 在 用 户 私 网 VLAN 
tag 之 外 封装 公 网 VLAN tag， 报 文 带 着 两 层 tag 穿 越 公 网 ， 从 而 为 用 户 提 
供 一 种 较为 简单 的 二 层 VPN 隧 道 。 
QinQ 协 议 是 一 种 简单 且 易 于 管理 的 协议 ， 它 不 需要 信念 的 支持 ， 仅 仅 通 
过 静态 配置 即 可 实现 ， 特 别 适 用 书 以 三 层 交 换 机 为 骨干 的 小 型 企业 网 或 
小 规模 城 域 网 。 
QinQ 协 议 在 解决 小 型 城 域 网 或 企业 网 方案 时 ， 具 有 以 下 优点 : 
。 可 以 解决 日 益 紧 缺 的 公 网 VLAN ID 资 源 问题 ; 
。 用 户 可 以 规划 自己 的 私 网 VLAN ID， 不 会 导致 与 公 网 VLAN ID 冲 
突 ; 
。 提供 所 种 较为 简单 的 二 层 VPN 解 决 方案 ; 
。 使 用 户 网 络 具有 较 高 的 独立 性 ， 在 服务 提供 商 升 级 网 络 时 ， 用 户 
网 络 不 必 更 改 原 有 的 VALN ID 配置 。 
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例 目 录 


1，QinQ 概 述 
2. QinQ 基 本 原理 
3，QinQ 配 置 
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基于 传统 的 802.1Q 协 议 的 实现 方式 


Trunk VLAN 200-300 


ISP Network 


Trunk VLAN 200-300 
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如 图 所 示 ， 假 设 某 企业 的 LAN A 和 LAN B 位 于 两 个 不 同 地 点 ， 分 别 通过 
SWA 和 SWD 接 入 到 服务 提供 商 骨 王 网 络 stlSP Network) ， 对 于 传统 的 
802.1Q 协 议 的 网 络 ， 如 果 用 户 需 要 将 BAN A 的 VLAN200-300 和 LAN B 
的 VLAN200-300 分 别 互联 起 来 。 那 发 必须 将 SWA、SWB 和 SWC、 
SWD 的 相连 端口 都 配置 为 Trunk 属 性 ， 并 人 允许 通过 VLAN200-300， 这 种 
配置 方法 必须 使 用 户 的 VLAN 在 骨干 网 络 上 可 见 ， 不 仅 耗 费 服务 提供 商 
宝贵 的 VLAN ID 资源 (一般 只 有 4094 个 VLAN ID 资源 ) ， 而且 还 需要 服 
务 提供 商 管理 用 户 的 VEAN 号 ， 用 户 没 有 自己 规划 VLAN 的 权利 。 
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Trunk VLAN 3 


ISP Network 


Wb huawel 
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QinQ 封 装 结 构 
6B 64-1500B 
Untagged frame DA DATA 


6B 6B 64-1500B 


Tagged Frame DA SA DATA 


QinQ 封 装 
6B 64-1500B 


DA 为 层 TAI DATA I 


2B 








0x8100 


TPID 
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如 图 所 示 ， 普 通 以 太 网 帧 中 ， 没 有 VLAN Tag 有 802.1Q 帧 中 在 源 地 址 和 Type 字 
段 之 间 插 入 4B 长 度 的 VLAN Tag，QinQ 封 装 在 802.1Q VLAN Tag 之 前 再 插入 一 
个 4B 长 度 的 VLAN Tag， 两 个 4B 长 度 的 VBAN Tag 字 段 包 含 相同 的 内 容 。 

其 中 : 

TPID: Tag Protocol ldentifier，2 字 节 ， 固 定 取 值 ，0x8100， 是 IEEE 定 义 的 新 
类 型 ， 表 明 这 是 一 个 携带 802.1Q 标 签 的 帧 。 华 为 交换 机 外 层 Tag 中 TPID 值 缺 省 
采用 协议 规定 的 0x8100， 某 些 广 商 的 设备 将 QinQ 报 文 外 层 Tag 的 TPID 值 设置 
为 0x9100 或 0x9200。 为 予 和 这 些 设备 兼容 ， 华 为 交换 机 提供 基于 端口 的 QinQ 
报 文 TPID 值 可 调 功 能 。 

TCI: Tag Control nfOrmiation，2 字 节 。 帧 的 控制 信息 ， 详 细 说 明 如 下 : 

。 Priority; 3 比特 ”指示 以 太 网 帧 的 优先 级 。 一 共有 8 种 优先 级 ，0 -7， 
用 于 提供 有 差别 的 转发 服务 。 

。 CFI: Canonical Format Indicator，1 比 特 。 用 于 令 牌 环 / 源 路 由 FDDI 介 
质 访 问 中 指示 地 址 信息 的 比特 次 序 信息 ， 即 先 传送 的 是 低 特 位 还 是 高 
比特 位 。 

esVLAN Identified: VLAN ID，12 上 比特， 取 值 从 0 到 4095。 
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数据 转发 流程 


| 


Trunk VLAN 3 


ISP Network 





QinQ 协 议 接 入 端口 
属 TVLAN3 
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QinQ 的 分 类 


根据 QinQ 的 具体 实现 方式 ， 通 常 分 为 如 下 几 类 : 
。 基 于 端口 的 QinQ 
" 基于 端口 的 基本 QinQ 
。 灵活 QinQ 
a VLAN Stacking 
。 基于 流 的 灵活 QinQ 
a 基于 ACL 的 灵活 QinQ 
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基于 端口 的 QinQ 


配置 了 此 功能 的 端口 ， 设 备 会 为 从 此 端口 进入 的 报 文 打 上 一 
层 VLAN ID 为 端口 PVID 的 外 层 VLAN tag。 
基于 端口 的 QinQ 通 过 配置 端口 类 型 为 dot19-tunnel 实 现 。 
。 当 端 口 类 型 为 dot1q-tunnel 时 ， 该 端口 加 入 的 VLAN 不 支持 二 层 
组 播 功 能 。 


4 
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灵活 QinQ 


灵活 QinQ 根 据 指定 条 件 为 入 报 文 加 一 层 S-VLAN tag。 
。 指定 条 件 : 入 报 文 外 层 VLAN 的 范围 或 VLAN+802.1P。 


。 仅 指 定 报 文 802.1P 优 先 级 时 ， 不 关注 入 报 文 外 层 VLAN 的 具体 值 ， 
只 要 外 层 VLAN 的 802.1P 优 先 级 匹配 就 会 打上 S-VLAN tag。 


通过 在 端口 配置 VLAN Stacking 实 现 。 
优势 : 
。 相对 基于 端口 的 QinQ， 灵 活 QinQ 可 以 根据 入 报 文 的 处 层 VLAN 
及 802.1P 来 选择 加 或 不 加 S-VLAN tag， 并 且 S-YEANstag 可 配置 。 
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配置 灵活 QinQ 时 ， 需 要 配置 端口 加 入 S-YBAN 的 方式 为 UNTAGGED 方 
式 ， 报 文 下 行 时 就 能 够 剥 掉 S-VLAN tag 后 再 出 设备 。 

。 接口 类 型 为 Hybrid 或 TrunK 时 ， 冰 能 配置 灵活 QinQ。 

。 Trunk 类 型 端口 只 有 在 人 允许 通过 的 VLAN 与 端口 的 PVID 相 同时 ， 
端口 才 以 UNTAGGED 方 式 加 入 VLAN， 所 以 Trunk 类 型 端口 只 能 
支持 配置 一 条 灵活 QIRQs 

端口 学 习 MAC 地 址 时 ,学 习 的 是 QinQ 报 文 外 层 VLAN 的 MAC 地 址 。 
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基于 流 的 灵活 QinQ 


基于 流 的 灵活 QinQ 通 过 全 局 配置 流 分 类 、 流 行为 ， 再 将 流 策 
略 绑 定 流 分 类 和 流行 为 来 实现 。 
优势 : XX 
。 相 对 灵活 QinQ ， 基 于 流 的 灵活 QinQ 还 可 以 根据 入 报 文 的 内 属 
VLAN 的 属性 来 加 S-VLAN tag， 配 置 范围 更 加 灵活 。 如 : 
a 内 层 VLAN、 内 层 VLAN+802.1P、 外 层 VLAN、 外 层 VLANA02s4P 
等 属性 
了 解 基于 流 的 灵活 QinQ 需 要 先 掌握 QoS 知识 ， 在 未 课程 中 仅 
需 了 解 基本 概念。 
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流 策略 可 以 在 接口 视图 、VLAN 视 图 和 爹 局 视图 下 配置 ， 不 同 视图 下 的 
配置 决定 了 流 策略 的 不 同 作 用 范围。 

当 流 策略 配置 在 VLAN 视 图 ， 并 县 流 分 类 指定 外 层 VLAN 或 者 外 层 
VLAN+802.1P 时 ， 只 有 入 报 文 的 外 展 VLAN ID 与 所 配置 的 VLAN 视 图 对 
应 的 VLAN ID 相同 时 ， 流 策略 才 会 生效 。 
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例 目 录 


1. QinQ 概 述 
2. QinQ 基 本 原理 
3. QinQ 配 置 
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业务 环境 


QinQ 协 议 接 入 端口 
届 J-VLAN 3 














Trunk VLAN 3 





ISP Network 


QinQ 协 议 接 入 端口 
届 丁 VLAN 3 
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以 此 组 网 为 例 ， 介 绍 QinQ 基 本 配置 : 
。 如 图 所 示 ，LAN A、LAN B 申 SWA 和 SWD 连 接 有 VLAN200 到 
VLAN300 的 私 网 用 户 。 
。 SWB 连 接 SWA 的 接口 Ethernet1/0/1、SWC 连 接 SWD 的 接口 
Ethernet1/0/1 为 QinQ 接 入 端口 ， 属 于 VLAN3。 
。 SWA 和 SWD 为 用 户 侧 交换机， 上 行 Trunk 端 口 Ethernet1/0/1 将 
带 有 VLAN ID 200-300 的 帧 发 送 给 SWB 和 SWC。 
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基于 端口 的 QinQ 配 置 


[SWB]interface ethernet 1/0/2 
[SWB-Ethernet1/0/2]port link-type trunk 
[SWB-Ethernet1/0/2]port trunk allow-pass 


|Trunk VLAN 3 


ISP Network 





[SWC] interface ethernet 1/0/2 
[SWC-Ethernet1/0/2]Port link-type trunk 
[SWC-Ethernet1/0/2]Port trunk allow-pass 
vlan 3 
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基于 端口 的 QinQ 基 本 配置 : 
。 SWA 上 行 Trunk 端 口 具 体 配置 如 让- 
" [SWAlinterface ethernetWO/1 
. // 进 入 ethernet 1/041 接 口 模式 。 
"= [SWA-Ethernet1/0/ 和 Nport link-type trunk 
a /配置 链 路 类 型 为 trunk 链 路 。 
"= [SWA-Ethernet1/0/1]port trunk allow-pass vlan 200 to 
300 


m /条 a 置 允许 带 有 VLAN ID 200 到 300 的 帧 穿 过 。 
。 SWD 秆 行 Trunk 端 口 配 置 与 SWA 类 似 。 
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基于 端口 的 QinQ 配 置 ( 续 ) 


[SWB]interface ethernet 1/0/1 
[SWB-Ethernet1/0/1]port link-type dotlq-tunnel 
[SWB-Ethernet1/0/1]port default vlan 3 


Trunk VLAN 3 


ISP Network 


[SWC]interface ethernet 1/0/1 
[SWC-Ethernet1/0/1]port link-type dotlq-tunnel 
[SWC-Ethernet1/0/1]port default vlan 3 


~ 
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灵活 QinQ 配 置 


[SWB]interface ethernet 1/0/2 
[SWB-Ethernet1/0/2]port link-type trunk 
[SWB-Ethernet1/0/2]port trunk allow-pass 


| Trunk VLAN 3 


ISP Network 





[SWC]interface ethernet 1/0/2 
[SWC-Ethernet1/0/2]port link-type trunk 
[SWC-Ethernet1/0/2]port trunk allow-pass 
vlan 3 
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灵活 QinQ 基 本 配置 : 
。 SWA 上 行 Trunk 端 口 具 体 配置 如 让- 
" [SWAlinterface ethernet1/0/1 
a // 进 入 ethernet 1/041 接 口 模式 。 
"= [SWA-Ethernet1/0/ 和 Nport link-type trunk 
a /配置 链 路 类 型 为 trunk 链 路 。 
"= [SWA-Ethernet1/0/1]port trunk allow-pass vlan 200 to 
300 


m /条 a 置 允许 带 有 VLAN ID 200 到 300 的 帧 穿 过 。 
。 SWD 秆 行 Trunk 端 口 配 置 与 SWA 类 似 。 
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灵活 QinQ 配 置 ( 续 ) 


[SWB]interface ethernet 1/0/1 

[SWB-Ethernet1/0/1]port link-type hybrid 
[SWB-Ethernet1/0/1]port hybrid untagged vlan 3 
[SWB-Ethernet1/0/1]port vlan-stacking vlan 200 to 300 
stack-vlan 3 








Trunk VLAN 3 








ISP Network 


[SNWC]interface ethernet 1/0/1 
[SWC-Ethernet1l/0/1]Port link-type hybrid 
[SWC-Ethernet1/0/1]port hybrid untagged vlan 3 
[SWC-Ethernet1/0/1]port vlan-stacking vlan 200 to 
300 stack-vlan 3 
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配置 命令 说 明 : 
。 portlink-type hybrid 
= 灵活 QinQ 的 接 入 端 日 类 型 可 以 配置 为 trunk 或 hybrid， 根 
据 具体 情况 而 定 和 默认 为 hybrid， 此 时 这 条 命令 可 不 配 。 
。 port hybrid untagged vlan 3 
s 配置 接口 以 Untagged 方 式 加 入 翅 加 后 的 VLAN。 
= 有 加 后 的 处 层 VLAN 必 须 是 设备 上 已 存 在 的 VLAN， 翅 加 
前 的 VEAN 可 以 不 创建 。 
= 配置 后 ， 接 口 在 发 送 帧 时 会 将 帧 中 的 Tag 剥 离 。 
a /如果 在 同一 接口 上 多 次 使 用 此 命令 ， 则 最 终 是 多 次 配置 
的 合集 。 
。 portvlan-stacking vlan 200 to 300 stack-vlan 3 
sa /配置 灵活 QinQ， 在 VLAN 200 到 300 的 用 户 VLAN 上 添加 
外 层 VLAN 3。 
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[SWB]interface ethernet 1/0/1 
[SWB-Ethernet1/0/1]qing Protocol 0x9100 


TrunkVLAN 3 


ISP Network 


[SWC]interface ethernet 1/0/1 
[SWC-Ethernet1/0/1]qing Protocol 0x9100 








~ 
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默认 为 8100， 可 配置 范围 为 0x0600~0xFFFF。 
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问 题 


QinQ 的 作用 是 什么 ? 如何 实 现 ? 
QinQ 报 文 在 公 网 上 传递 是 否 会 检查 内 层 私 网 Tag? 


QinQ 报 文公 网 Tag 中 TPID 缺 省 值 是 什么 ?是 否 可 以 修改 2 
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Q:QinQ 的 作用 是 什么 ? 
A:QinQ 为 用 户 提供 一 种 较为 简单 的 三 层 YPN 隧 道 ， 通 过 在 用 户 私 网 
VLAN tag 之 外 封装 公 网 VLAN tag 实 现 。 


Q:QinQ 报 文 在 公 网 上 传递 是 否 会 检查 内 层 私 网 Tag? 
A:QinQ 报 文 只 按照 外 层 公 网 Tag 在 公 网 上 传递 ， 不 会 检查 内 层 私 网 Tag 


o 


Q:QinQ 报 文公 网 Tag 中 TPID 缺 省 值 是 什么 ? 是 否 可 以 修改 ? 


A:QinQ 报 文公 网 Tag 中 TPID 缺 省 值 是 0x8100， 可 以 使 用 命令 qinq 
protocol 修 改革 
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Module 2 


四 令 庆 


STP 原 理 与 配置 








HCDP-IESN Module 2 STP 


人 鲁 前 言 
本 课程 介绍 STP (生成 树 协 议 ) 的 原理 与 配置 。 


STP 运 行 于 以 太 网 交换 机 上 ， 通 过 在 网 络 上 修剪 出 一 棵 无 环 YX 
的 树 来 解决 交换 网 络 中 的 环 路 问题 。 
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本 课程 介绍 STP (生成 树 协 议 ) 的 原理 与 配置 。 

STP: Spanning Tree Protocol。 

以 太 网 交换 网 络 上 为 了 进行 链 路 备份 ， 通 常会 使 用 见 余 链 路 ， 但 是 使 用 
见 余 链 路 会 在 交换 网 络 上 生成 环 路 , 并 导致 广播 风暴 以 及 MAC 地 址 表 不 
稳定 等 故障 现象 。 

STP 运 行 于 以 太 网 交换 机 匡 ， 为 解决 交换 网 络 中 的 环 路 问题 在 网 络 上 修 
剪 出 一 棵 无 环 的 树 ， 并 在 主 链 路 故障 后 ， 自 动 启用 备份 链 路 ， 使 网 络 工 
作 正 常 。 

最 新 的 STP 标 准 由 1998 年 发 布 的 IEEE802.1D 标 准 文档 定义 。 
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HCDP-IESN Module 2 STP 


培训 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 描述 生成 树 基本 计算 过 程 
。 描述 配置 BPDU 在 计算 过 程 中 的 作用 
。 描述 拓扑 结构 改变 信息 的 泛 洪 过 程 
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学 习 完 此 课程 ， 您 将 会 

描述 生成 树 基本 计算 过 程 ; 

描述 配置 BPDU 在 计算 过 程 中 的 作用 ， 理 解 交换 机 如 何 选 择 最 优 的 配置 
BPDU， 以 及 如 何 设 置 端口 状态 

描述 拓扑 结构 改变 信息 的 泛 洪 过 程 $ 理解 拓扑 结构 改变 信息 的 作用 。 











HC Series HUAWEI TECHNOLOGIES 第 71 页 


HCDP-IESN Module 2 STP 


例 目 录 


. 环 路 引起 的 问题 
. 生成 树 基本 计算 


















































扑 改 变 信息 
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本 章 通 过 回顾 交换 机 的 工作 过 程 ， 了 解 交换 网 络 中 的 环 路 引起 的 问题 ， 
理解 为 什么 要 使 用 STP (生成 树 协议 ) 。 
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交换 机 转发 流程 回顾 


00-0D-56-BF-88-10 
00-0D-56-BF-88-20 


目的 MAC 地 址 


00-0D-56-BF-88-10 
00-0D-56-BF-88-20 








a 


00-0D-56-BF-88-20 
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交换 机 基于 MAC 地 址 表 进 行 转发 数据 帧 呈 MAC 地 址 表 是 目的 MAC 地 址 
和 目的 端口 的 对 应 关系 。 

1: 假设 PCA 向 PCB 发 送 一 个 数据 帧 , 陛 数 据 帧 的 目的 MAC 地 址 设置 为 
PCB 的 MAC 地 址 00-0D-56-BF-88-20， 交 换 机 SWA 接 收 到 此 数据 帧 之 后 
， 需 要 查找 MAC 地 址 表 ， 根 据 MAC 地 址 表 中 的 记录 ， 将 数据 帧 从 E0/3 
口 向 外 转发 。 

交换 机 在 转发 数据 帧 的 时 候 半 对 数据 帧 不 做 任何 修改 ， 如 果 交 换 机 接收 
到 的 是 一 个 广播 数据 帧 , 则 向 除 源 端 口 之 外 的 所 有 端口 转发 。 

2: 交换 机 SWB 接 收 到 池 化 数据 帧 之 后 ， 查 找 MAC 地 址 表 ， 根 据 MAC 地 
址 表 中 的 记录 ， 将 效 据 从 E0/6 端 口上 转发 出 去 ， 此 次 转发 仍然 不 会 对 数 
据 帧 做 任何 修改 

3: PCB 接 收 到 数据 帧 之 后 ， 查 看 目的 MAC 地 址 ， 由 于 目的 MAC 地 址 为 
接收 者 水 身 \ 所 以 PCB 处 理 此 数据 帧 并 上 送 给 上 层 协议 处 理 数据 帧 所 扒 
带 的 数据 5 
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如 果 交 换 机 从 一 个 端口 上 接收 到 的 是 一 企 访 播 数据 帧 ， 则 向 所 有 其 它 端 
口 转发 ， 而 且 交 换 机 在 转发 数据 帧 的 时 候 光 对 数据 帧 不 做 任何 修改 ， 
此 ， 如 果 交 换 网 络 中 有 环 路 ， 则 启 播 惰 会 被 无 限期 的 转发 ， 形 成 广播 风 
暴 。 





| 
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交换 机 学 习 MAC 地 址 表 回 顾 


00-0D-56-BF-88-20 
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交换 机 根据 MAC 地 址 表 转 发 ， 但 是 MAC 地 址 表 在 交换 机 启动 时 是 空 的 
， 交 换 机 有 一 个 学 习 MAC 地 址 表 的 过 程 。 
交换 机 是 根据 接收 到 的 数据 帧 的 源 地 址 和 接收 端口 的 对 应 关系 学 习 MAC 
ee 

: 假设 PCA 向 PCB 发 送 一 个 数据 帧 。 在 此 数据 帧 中 ， 目 的 MAC 地 址 是 
ww 0D-56-BFs88-20， 源 地 址 是 PCA 的 MAC 地 址 00-0D- 
56-BF-88-10。 
当 交 换 机 SWA 收 到 此 数据 帧 之 后 ， 检 查 数据 帧 的 源 地 址 ， 并 将 源 地 址 和 
接收 端口 的 对 应 关系 添加 到 MAC 地 址 表 中 ， 形 成 目的 地 址 和 目的 端口 的 
对 应 关系 。 
2: 交换 机 SWB 收 到 此 数据 帧 之 后 ， 同 样 将 源 MAC 地 址 和 接收 端口 的 对 
应 关系 添加 到 MAC 地 址 表 中 ， 形 成 一 个 MAC 地 址 表 项 。 
3: PCB 收 到 数据 帧 之 后 ， 处 理 数据 帧 。 
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环 路 引起 的 问题 之 二 一 一 MAC 地 址 表 不 稳定 


目的 MAC 地 址 | 目的 端口 | AL 
00-0D-56-BF-88-10 
00-0D-56-BF-88-10 E0/4 








错误 目的 端口 
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交换 机 根据 所 接收 到 的 数据 帧 的 源 地 址 和 接收 端口 的 对 应 关系 生成 MAC 
地 址 表 。 

PCA 向 外 发 送 一 个 数据 帧 ， 假 设 此 数据 帧 的 目的 MAC 地 址 在 网 络 中 所 有 
交换 机 的 MAC 地 址 表 中 都 暂时 不 存在 。SWA 收 到 此 数据 帧 之 后 ， 在 
MAC 地 址 表 中 生成 一 个 MAC 地 址 表 项 ，00-0D-56-BF-88-10， 对 应 端口 
为 E0/2。 

由 于 SWA 的 MAC 地 址 表 中 没有 对 应 此 数据 帧 目的 MAC 地 址 的 表 项 ， 则 
SWA 将 此 数据 帧 同时 向 E0/3 和 E0/4 端 口上 转发 。 

由 于 SWB 的 MAC 地 址 表 中 也 没有 对 应 此 数据 帧 目的 MAC 地 址 的 表 项 ， 
则 从 E0/5 接 口 接收 到 的 数据 帧 会 被 从 E0/6 接 口 发 送 回 SWA。 

SWA 从 E0/4 接 收 到 此 数据 帧 之 后 ， 会 在 MAC 地 址 表 中 删除 原 有 的 相关 
表 项 ， 生 成 一 个 新 的 表 项 ，00-0D-56-BF-88-10， 对 应 端口 为 E0/4。 这 
样 不 但 造成 MAC 地 址 表 不 稳定 ， 而 且 还 生成 了 错误 的 表 项 。 
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本 章 介绍 生成 树 计 算 的 基本 过 程 ， 理 解 生成 树 协议 中 的 基本 概念 ， 包 括 
交换 机 角色 ， 端 口角 色 ， 端 口 状态 等 内 容 s 
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Root Bridge 
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为 了 计算 生成 树 ， 交 换 机 之 间 需 要 交换 相关 信息 和 人 参数， 这 些 信 息 和 参 
数 被 封装 在 配置 BPDU (Configuration Bridge Protocol Data Unit) 中 ， 
在 交换 机 之 间 传 递 。 

BPDU 是 指 桥接 协议 数据 单元 ,人 泛 指 交 换 机 之 间 运 行 的 协议 交互 信息 时 
使 用 的 数据 单元 。 配 置 BPDU 是 BRDU 的 一 种 。 

生成 树 计算 的 第 一 步 是 选举 根 交 换 机 ， 根 交换 机 的 选举 基于 交换 机 标识 
(Bridge ID) 。 

交换 机 标识 由 两 部 分 组 成 :三 两 字 节 长 度 的 交换 机 优先 级 和 六 字 节 长 度 的 
MAC 地 址 。 

交换 机 优先 级 是 可 以 配置 的 ， 取 值 范围 是 0 一 65535， 默 认 值 为 32768。 
网 络 中 交换 机 标识 最 小 的 成 为 根 交换 机 ， 首 先 比较 优先 级 ， 如 果 优先 级 
相同 则 比较 MAC 地 址 ， 值 越 小 越 优 先 。 

本 例 中 $ 三 个 交换 机 的 优先 级 是 相同 的 ， 由 于 SWA 的 MAC 地 址 值 最 小 
因此 SWA 为 根 交换 机 。 
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生成 树 基本 计算 过 程 一 选举 非 根 交换 机 的 根 端口 


Root Bridge 


32768. 
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Root Port 
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STP 为 每 个 非 根 交 换 机 选举 根 端口 (RootPert) 。 

交换 机 的 每 个 端口 都 有 一 个 端口 开销 (Port Cost) 的 参数 ， 此 参数 表示 
数据 从 该 端口 发 送 时 的 开销 值 ， 也 即 出 端口 的 开销 。STP 认 为 从 一 个 端 
口 接收 数据 是 没有 开销 的 。 端 图 的 开销 和 端口 的 带宽 有 关 ， 带 宽 越 高 
开销 越 小 ，VRP 平 台中 ， 百 兆 端 鸟 的 开销 值 为 200。 从 一 个 非 根 交 换 机 
到 达 根 交换 机 的 路 径 可 能 有 多 条 每 一 条 路 径 都 有 一 个 总 的 开销 值 ， 此 
开销 值 是 该 路 径 上 所 有 出 端 央 的 端口 开销 总 和 。 

根 端 口 是 指 从 一 个 非 根 交换 机 到 根 交换 机 总 开销 最 小 的 路 径 所 经 过 的 本 
地 端口 。 这 个 最 小 的 总 开销 值 称 为 交换 机 的 根 路 径 开 销 (Root Path 
Cost) 。 如 果 这 样 的 端口 有 多 个 ， 则 比较 端口 上 所 连接 的 上 行 交换 机 的 
交换 机 标识 ,/ 越 小 越 优先 ， 如 果 端 口上 所 连接 的 上 行 交换 机 的 交换 机 标 
识 相 同 ， 则 比较 端口 上 所 连接 的 上 行 端口 的 端口 标识 (Port ldentifier) 
， 越 小 越 优 先 。 端 口 标识 由 两 部 分 组 成 : 一 字 节 长 度 的 端口 优先 级 和 一 
字 节 长 度 的 端 加 号 。 一 字 节 长 度 的 端口 优先 级 是 可 配置 的 ， 默 认为 128 
。 本 例 中 ， 假 设 所 有 端口 都 是 百 兆 端口 ， 使 用 相同 的 开销 值 200。 
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生成 树 基 本 计算 过 程 一 选举 网 段 的 指定 端口 


Root 32768. 
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STP 为 每 个 网 段 选 出 一 个 指定 端口 (Designated Port) ， 指 定 端口 为 每 
个 网 段 转发 发 往 根 交换 机 方向 的 数据 ， 并 县 转发 由 根 交 换 机 方向 发 往 该 
网 段 的 数据 。 指 定 端口 所 在 的 交换 机 称 为 该 网 段 的 指定 交换 机 。 

为 每 个 网 段 选 举 指定 端口 和 指定 交换 机 的 时 候 ， 首 先 比较 该 网 段 所 连接 
的 端口 所 属 交换 机 的 根 路 径 开 销 ,N 越 小 越 优 先 ; 如 果 根 路 径 开销 相同 ， 
则 比较 所 连接 的 端口 所 属 交 换 机 的 交换 机 标识 ， 越 小 越 优 先 ; 如 果 根 路 
径 开 销 相 同 ， 交 换 机 标识 也 相同 ， 则 比较 所 连接 的 端口 的 端口 标识 ， 越 
小 越 优 先 。 

对 于 根 交 换 机 来 说 ,AP 所 有 端口 都 是 所 连 网 段 的 指定 端口 。 因 此 LANA 和 
LANB 的 指定 端口 都 在 SWA 上 。 

LAND 和 LANE 都 只 连接 了 一 个 交换 机 端口 ， 此 端口 即 为 指定 端口 。 

对 于 LANC 来 说 > 同时 连接 到 两 个 交换 机 端口 ， 并 且 两 个 交换 机 的 根 路 
径 开销 相同 > 因此 需要 比较 两 个 端口 所 在 交换 机 的 交换 机 标识 ， 由 于 
SWB 的 交换 机 标识 比 SWC 小 (二 者 交换 机 优先 级 一 致 ， 但 SWB 的 MAC 
地 址 更 小 ) ， 因 此 LANC 的 指定 端口 在 SWB 上 。 

既 不 是 根 端 口 也 不 是 指定 端口 的 交换 机 端口 称 为 Alternate Port (预备 端 
加 ) ， 预 备 端口 不 转发 数据 ， 处 于 阻塞 状态 。 
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交换 机 端口 角色 


端口 角色 描 述 


Root Port 根 端口 ， 是 所 在 交换 机 上 离 根 交 换 机 最 近 的 端口 ， 处 于 转发 状态 。 





指定 端口 ， 转 发 所 连接 的 网 段 发 往 根 交换 机 方向 的 数据 和 从 根 交 换 


Designated Port | 机 方向 发 往 所 连接 的 网 段 的 数据 。 











Alternate Port 备 端 口 ， 不 向 所 连 网 段 转 发 任何 数据 。 
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如 前 所 述 ， 对 于 物理 层 和 数据 链 路 层 可 以 正常 工作 ， 并 且 开 启 了 STP 的 

交换 机 端口 ，STP 共 定义 了 三 种 端口 角色 3 处 于 转发 状态 的 有 根 端口 和 
引 定 端口 。 

底层 没有 开启 的 端口 称 为 Disable 端 国 。 
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在 端口 角色 以 及 状态 的 变化 过 程 中 ， 可 能 矣 出 现 临时 环 路 问题 。 
本 例 中 ， 初 始 状态 下 SWA 为 根 交 换 机 ， 所 有 的 交换 机 端口 中 ， 只 
SWD 的 E0/2 端 口 为 Alternate Port_ 处 手 不 转发 状态 。 

假设 修改 SWC 的 优先 级 ， 使 SWC 成 为 新 的 根 交换 机 ，SWD 的 E0/2 接 口 
成 为 新 的 根 端口 ， 进 入 转发 状态 ,EO/1 接 口 成 为 新 的 指定 端口 ， 处 于 转 
发 状态 ，SWB 的 E0/2 应 当成 为 新 的 Alternate Port， 进 入 不 转发 状态 。 

如 果 在 SWB 的 E0/2 在 从 转发 状态 进入 不 转发 状态 之 前 ，SWD 的 E0/2 就 
已 经 从 不 转发 状态 进入 了 和 转发 状态 ， 则 网 络 中 会 出 现 临 时 环 路 。 

解决 临时 环 路 的 方法 是 s 在 一 个 端口 从 不 转发 状态 进入 转发 状态 之 前 ( 
例如 SWD 的 E0/2 端 口 ) ， 需 要 等 待 一 个 足够 长 的 时 间 ， 以 使 需要 进入 
不 转发 状态 的 端 昌 有 足够 时 间 完 成 生成 树 计 算 ， 并 进入 不 转发 状态 。 
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1: 端口 被 选 为 指定 端口 (Designated Port)s 或 根 端口 (Root Port) ; 
2: 端口 被 选 为 预备 端口 (Alternate Port 下: 

3: 经 过 Forward Delay 间 隔 。Forward Delay 默 认为 15 秒 。 

端口 被 禁用 之 后 进入 Disable 状 态 。 

当 一 个 端口 从 不 转发 状态 进入 转发 状态 之 前 需要 等 待 两 次 Forward 
Delay 间 隔 (后 文 详细 解释 端口 状态 变换 ) ， 以 解决 前 文 所 述 可 能 的 临 
时 环 路 问题 。 
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端口 状态 描述 





Disable 此 状态 下 端口 不 转发 数据 帧 ， 不 学 习 MAC 地 址 表 ， 不 参与 生成 树 
未 启用 计算 。 
Blocking 此 状态 下 端口 不 转发 数据 帧 ， 不 学 习 MAC 地 址 表 ， 此 基态 下 阔 中 | 











阻塞 状态 接收 并 处 理 BPDU ， 但 是 不 向 外 发 送 BPDU。 
Listening 此 状态 下 端口 不 转发 数据 帧 ， 不 学 习 MAC 地 址 表 ， 只 参与 生成 树 
侦 听 状态 计算 ， 接 收 并 发 送 BPDU。 
Learning 此 状态 下 端口 不 转发 数据 帧 ， 但 是 学 习 MAC 地 址 表 ， 参 与 计算 生 
学 习 状态 成 树 ， 接 收 并 发 送 BPDU。 

Forwarding | 此 状态 下 端口 正常 转发 数据 帧 ， 学 习 MAC 地 址 表 字 沧 与 计算 生成 
转发 状态 树 ， 接 收 并 发 送 BPDU。 
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当 端 口 正 常 启用 之 后 ， 端 口 首 先进 入 Listsping 状 态 ， 开 始 生 成 树 的 计算 





过 程 。 

如 果 经 过 计算 ， 端 口角 色 需 要 设置 为 预备 端口 (Alternate Port) ， 则 端 
口 状态 立即 进入 Blocking ; 

如 果 经 过 计算 ， 端 口角 色 需 要 设置 为 根 端口 (Root Port) 或 指定 端口 ( 


Designated Port) ， 则 端 吕 状态 在 等 待 Forward Delay 之 后 从 Listening 
状态 进入 Learning 状 态 , /然后 继续 等 待 Forward Delay 之 后 ， 从 Learning 
状态 进入 Forwarding 状 态 尖 征 常 转发 数据 帧 。 





第 84 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IESN Module 2 STP 


STP 基 本 配置 一 物理 拓扑 
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物理 拓扑 如 图 所 示 ， 配 置 SWA 的 Priority 为 4096、SWB 的 Priority 为 8192 
、SWC 的 Priority 为 32678， 使 SWA 成 为 根 交 换 机 ，SWB 成 为 LANC 的 
指定 交换 机 。 
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HCDP-IESN Module 2 STP 


STP 基 本 配置 一 配置 命令 








( FS 
[Quadway 
[anC Tatf 
[Mc] sh 
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stp { enable | disable } 

stp 命 令 用 来 启动 或 关闭 交换 机 全 局 或 端口 的 STP 功 能 ， 缺 省 情况 下 ， 交 
换 机 上 的 STP 功 能 处 于 开启 状态 。 

stp mode { stp | rstp | mstp } 

stp mode 命 令 用 来 设 定 交 换 机 的 STP 运 行 模式 ， 缺 省 情况 下 ， 交 换 机 的 
运行 模式 为 MSTP 模 式 。 

关于 RTSP 和 MSTP 技 术 & 将 在 后 续 课程 中 介绍 ， 本 课程 只 介绍 STP 技 
术 。 

stp priority priority 

priority: 交换 机 的 优先 级 ， 取 值 0~61440， 步 长 为 4096， 即 交换 机 可 
以 设置 16 个 优先 级 取 值 ， 如 0、4096、8192 等 。 

stp priority 命 令 用 来 配置 交换 机 的 优先 级 ， 缺 省 情况 下 ， 交 换 机 优先 级 
取 值 为 32768 
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HCDP-IESN Module 2 STP 


STP 基 本 配置 一 验证 STP 全 局 状态 


[SWC]display stp 





Global Info] [Mode STP] 
CIST Bridge : 32768.00e0-fc41-43b9 


Bridge Times :Hello 2s xAge 20s FwDly 15s MaxHop 20 


CIST Root/ERPC : 4096.00e0-fc41-4259 / 20 
CIST RegRoot/IRPC : 32768.00e0-fc41-43b9 / 0 
CIST RootPortIQ :128.10 

BPDU-Protection :Disabled 

TC or TCN received :117 

TC count per hello :1 

STP Converge Mode :Normal 

Share region-configuration :Enabled 


Time since last TC :0 days 0h:0m:0s 
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全 局 信息 中 根 交 换 机 和 自身 的 交换 机 标 误 不 同 ， 标 识 自身 是 一 个 非 根 交 
换 机 。 





HC Series HUAWEI TECHNOLOGIES 第 87 页 


HCDP-IESN Module 2 STP 


STP 基 本 配置 一 验证 STP 端 口 信息 


[SWC]display stp interface Ethernet 0/20 
----[CIST] [Port20 (Ethernet0/20)] [Forwarding]---- 

Port Protocol :Enabled 

Port Role :Root Port 

Port Priority :128 

Port Cost (DotlT ) 

Designated Bridge/Port : 4096.00e0-fc41-4259 / 128.20 
Port Edged :Config=default / Active=disabled 
Point-to-point 

Transit Limit :147 packets/hello-time 
Protection Type :None 

Port STP Mode 

Port Protocol Type 

BPDU Encapsulation 

PortTimes 

TC or TCN send 

TC or TCN received 

BPDU Sent 





0; RST: 0, MST; 
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STP 端 口 信息 显示 : 
此 端口 状态 为 Forwarding; 

此 端口 角色 为 Root Port ( 根 端 口 ); 

端口 默认 优先 级 为 128 ; 

此 端口 所 连 网 段 的 指定 交换 机 为 4096.00e0-fc41-4259 ， 标 识 SWA。 
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HCDP-IESN Module 2 STP 


例 目 录 


. 环 路 引起 的 问题 
生成 树 基本 计算 过 程 
. 配置 BPDU 

. 拓扑 改变 信息 
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HCDP-IESN Module 2 STP 


封装 配置 BPDU (Configuration BPDU) 


oo | wo | om | oo | Fos | 


01-80-C2-00-00-00 LLC Header 


DSAP SSAP 


01000010 01000010 Contrel | 
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用 于 计算 生成 树 的 各 种 信息 和 参数 被 封装 在 配置 BPDU (Configuration 
Bridge Protocol Data Unit) 中 在 交换 机 关 间 发 送 。 

配置 BPDU 使 用 标准 LLC 格 式 封装 在 以 太 网 数据 帧 中 。 

配置 BPDU 只 在 指定 端口 (Designated Port) 上 发 送 。 

DMAC: 目的 MAC 地 址 。 发 送 配 置 BPDU 的 数据 帧 使 用 保留 的 组 播 MAC 
地 址 01-80-C2-00-00-00, 此 地 址 标识 所 有 交换 机 ， 但 是 不 能 被 交换 机 
转发 ， 也 即 只 在 本 地 链 路 有 效 % 

LLC Header: 目的 服务 访问 点 (Destination Service Access Point, 
DSAP) 和 源 服务 访问 点 (Source Service Access Point, SSAP) 的 值 
都 设 为 二 进 制 01000040。Control 


字段 的 值 设 为 3。 
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配置 BPDU 的 内 容 


-三 上 上 


Root ldentifier 


用 于 检测 最 





i 
Bridge ldentifier 配置 BPD 
、 
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当 配 置 BPDU 只 用 于 计算 生成 树 ， 不 用 于 传递 拓扑 改变 信息 (第 四 章 中 
详细 描述 ) 的 时 候 : 

Protocol Identifier (协议 标识 ) ,Prot6col Version Identifier (协议 版 本 
标识 ) 和 BPDU Type (BPDU 类 型 )NFlags (标志 ) 四 部 分 设置 为 全 0。 
Root Identifier，Root Path Cost, Bridge Identifier 和 Port Identifier 四 部 
分 用 于 检测 最 优 的 配置 BPDUS 进行 生成 树 计算 。 
Message Age 随 时 间 增 长 而 变 大 ; 

Max Age 默 认为 20 秒 & 如 果 Message Age 达 到 Max Age， 则 此 配置 
BPDU 被 认为 已 经 过 期 $ 

Hello Time 默 认为 2 秒 ， 也 即 在 指定 端口 上 ， 配 置 BPDU 每 隔 两 秒 发 送 一 
次 。 

Forward Delay 默 认为 15 秒 。 
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配置 BPDU 中 的 重要 参数 


Root Identifier 发 送 此 配置 BPDU 的 交换 机 所 认为 的 根 交 换 机 的 交换 机 标识 





从 发 送 此 配置 BPDU 的 交换 机 到 达 根 交换 机 的 最 短路 径 总 开销 ， 


Root Path Cost 
含 交换 机 根 端口 的 开销 ， 不 含 发 送 此 配置 BPDU 的 端口 的 开销 


Bridge Identifier | 发 送 此 配置 BPDU 的 交换 机 的 交换 机 标识 





Port Identifier 发 送 此 配置 BPDU 的 交换 机 端口 的 端口 标识 
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此 表格 列 出 了 配置 BPDU 中 四 个 与 检测 最 优 配置 BPDU 相 关 的 参数 以 及 
相关 描述 。 
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| 





HCDP-IESN Module 2 STP 


交换 机 全 局 参数 


参数 描 述 





此 交换 机 所 认为 的 根 交换 机 的 交换 机 标识 ， 用 于 设置 此 交换 机 

所 发 送 的 配置 BPDU 中 的 Root Identifier 参数 

从 此 交换 机 到 达 根 交换 机 的 最 短路 径 总 开销 ， 含 此 交换 机 的 根 
Root Path Cost 端口 的 端口 开销 ， 用 于 设置 此 交换 机 所 发 送 的 配置 BPDU 申 的 

Root Path Cost 人 参数 


Designated Root 




















Root Port 根 端口 的 端口 标识 











Bridge Identifier ”| 该 交换 机 的 交换 机 标识 
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此 表格 列 出 了 重要 的 交换 机 全 局 参数 ， 相 关 描 述 以 及 与 配置 BPDU 中 相 
关 参 数 的 关系 。 

根 端口 的 选举 与 端口 所 维护 的 优先 级 参数 有 关 ， 在 后 文中 详细 描述 。 

当 交 换 机 启动 ， 初 始 化 生成 树 协议 时 % Designated Root 为 交换 机 本 身 

， 也 即 交 换 机 刚刚 初始 化 的 时 候 , 注 是 认为 自身 为 根 交换 机 ; Root 
Path Cost 为 0; 没有 Root PRGrt 人 有 已 被 启用 的 端口 都 是 指定 端口 ( 
Designated Port) 。 

因此 ， 当 交换 机 初始 化 之 后 ， 从 所 有 端口 上 向 外 发 送 Root Identifier 为 自 
身 标识 ，Root Path/Cost 为 0，Bridge Identifier 为 自身 标识 ，Port 
Identifier 为 发 送 端口 的 端口 标识 的 配置 BPDU。 
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HCDP-IESN Module 2 STP 


端口 参数 


参 数 描 述 


Path Cost 本 地 端口 开销 ， 只 对 根 端口 有 意义 
从 该 端口 上 所 接收 到 的 配置 BPDU 中 所 记录 的 根 交换 机 的 交换 机 


标识 
指定 开销 ， 对 于 指定 端口 ， 该 参数 等 于 该 交换 机 的 Root Patf 
Designated Cost | Cost; 对 于 非 指定 端口 ， 该 参数 等 于 上 行 交 换 机 发 送 的 配置 
BPDU 中 设置 的 Root Path Cost 


指定 交换 机 ， 对 于 指定 端口 ， 该 参数 标识 该 端口 所 属 的 交换 机 ; 
对 于 非 指定 端口 ， 该 参数 标识 该 端口 所 连 网 段 上 的 指定 交换 机 





Designated Root 














Designated Bridge 








指定 端口 ， 对 于 指定 端口 ， 该 参数 标识 自身 端 下 Si 2 生计 指定 端 
D ted Port 和 a 
ee ， 该 参数 标识 该 端口 所 连 网 段 上 的 指定 端 扣 
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此 表 列 出 了 端口 上 维护 的 重要 参数 ， 这 些 参数 大 都 和 配置 BPDU 有 关系 
当 交 换 机 初始 化 之 后 ， 由 于 认为 自身 为 根 交换 机 ， 所 有 端口 均 为 指定 端 
口 ， 因 此 端口 上 的 参数 设置 如 下 : 

Designated Root 为 交换 机 本 身 ; 

Designated Cost 为 0; 

Designated Bridge 为 交换 机 本 身 ; 

Designated Port 为 端 日 自身 的 标识 。 
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HCDP-IESN Module 2 STP 


初始 化 全 局 参数 和 痛 口 参数 


32768. 
00e0-fc16-ee43 


32768. 
00e0-fc41-43b9 
32768. 
00e0-fc41-43b9 


32768. 
00e0-fc41-4259 
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本 例 中 : 

SWA 为 网 络 中 的 原 有 根 交 换 机 (Reot) ,SWC 为 刚 加 入 到 该 网 络 中 的 
新 交换 机 。 

SWC 初 始 化 全 局 参数 为 : 

Designated Root 为 自身 的 交换 机 标识 32768.00e0-fc41-43b9 ; 

Root Path Cost 为 0; 


Root Port 为 空 ; 
Bridge Identifier 为 自 呈 ,的 交换 机 标识 32768.00e0-fc41-43b9。 
端口 参数 初始 化 为 : 


Designated Root 和 Designated Bridge 初 始 化 为 交换 机 本 身 32768.00e0- 
fc41-43b9; 


Designate 中 Cost 初 始 化 为 0; 


Designated .Port 初 始 化 为 自身 的 端口 标识 -默认 优先 级 128 与 端口 号 的 
组 合 。 





HC Series HUAWEI TECHNOLOGIES 第 95 页 


HCDP-IESN Module 2 STP 


收 到 更 优 配置 BPDU 并 记录 在 端口 参数 中 





比较 所 接收 到 的 配置 BPDU 中 Root Identifier 和 端口 参数 中 记录 的 
Designated Root， 如 果 二 者 相等 则 进入 第 二 步 





比较 所 接收 到 的 配置 BPDU 中 Root Path Cost 和 端口 参数 中 记录 的 
Designated Cost， 如 果 二 者 相等 则 进入 第 三 步 





比较 所 接收 到 的 配置 BPDU 中 Bridge Identifier 和 端口 参数 中 记录 的 
Designated Bridge， 如 果 二 者 相等 则 进入 第 四 步 











比较 所 接收 到 的 配置 BPDU 中 Port Identifier 和 端口 参数 申 记录 的 
Designated Port 
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端口 上 的 参数 如 前 所 述 进行 初始 化 之 后 开始 比较 在 端口 上 所 接收 到 的 
配置 BPDU 和 端口 参数 中 的 记录 ， 如 果 端 由 参数 中 记录 的 更 优先 ( 表 中 
所 列 出 的 比较 项 均 为 值 越 小 越 优先 ) , 册 1 丢弃 配置 BPDU， 如 果 配 置 
BPDU 中 记录 的 更 优先 ， 则 对 端口 参数 做 如 下 修改 : 

端口 参数 中 的 Designated Root、Besignated Cost、Designated Bridge 
和 Designated Port 分 别 设置 成 些 配 置 BPDU 中 的 Root ldentifier、Root 
Path Cost、Bridge Identifier 和 Port Identifier。 
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收 到 更 优 配置 BPDU 并 记录 在 端口 参数 中 


32768. 
00e0-fc16-ee43 


32768. 
00e0-fc41-43b9 


00e0-fc41-4259 


2 32768: 
32768. 、 00e0-fc41-43 乓 : 


32768. 
00e0-fc16-ee43 ~ 00e0-fc16-ee43 


32768. 
32768. 、 $2768. 
00e0-fc41-4259 一 一人 | 可 0e0-fc41-4259 
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假设 初始 化 之 后 SWC 的 E2 端 口 首先 从 SWB 收 到 一 个 配置 BPDU，SWC 
收 到 此 配置 BPDU 后 ， 将 此 配置 BPDU 中 的 相关 参数 和 E2 端 口 的 参数 相 
比较 ， 发 现 配 置 BPDU 中 的 Root Identifier 此 E2 端 口 参数 中 记录 的 
Designated Root 更 优先 ， 按 照 如 前 所 述 的 规则 ， 将 E2 端 口 的 相关 参数 
修改 为 配置 BPDU 中 的 值 。 
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计算 根 交换 机 、 根 端口 和 根 路 径 开销 


E1 端 口 参数 


32768. 
00e0-fc41-43b9 


修正 后 的 全 局 参数 以 


32768. 
四 32768. 
00e0-fc41-43b9 00e0-fc16-ee43 


| ”EN 
| 
E3 端 口 参数 00e0-fc41s43b9 
00e0-fc41-43b9 
00e0-fc16-ee43 | 
768. 


Ga ed 32768. 
32 \ 00e0-fc41-43b9 
00e0-fc41-4259 1283 
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从 端口 上 收 到 一 个 更 优 的 配置 BPDU 之 后 入 重新 计算 根 交 换 机 、 根 端口 
和 根 路 径 开销 的 过 程 将 被 启动 。 

计算 过 程 为 : 

1. 根据 所 有 的 端口 上 记录 的 参数 ， 依 次 比较 Designated Root， 
Designated Cost 和 端口 Cost 之 和 Designated Bridge 和 Designated 
Port， 从 中 选 出 一 个 记录 了 最 优 参 数 的 端口 ， 并 且 此 端口 上 记录 的 
Designated Root 要 比 交 换 机 自身 的 Bridge ldentifier (交换 机 标识 ) 更 
优先 ， 此 端口 即 为 根 端口 

2. 选择 出 此 端口 之 后 汶 更 新 交换 机 全 局 参数 Designated Root 为 根 端口 
记录 的 Designated Reot; 更 新 交换 机 全 局 参数 Root Path Cost 为 根 端口 
记录 的 Designated Cost 与 根 端 口 的 Port Cost 之 和 ; 

3. 如 果 任 何 端 及 记录 的 Designated Root 参 数 都 不 比 交 换 机 自身 的 
Bridge lgdenitifier 更 优先 ， 则 交换 机 全 局 参数 Designated Root 设置 为 交 
换 机 自身 的 Bridge Identifier; 交换 机 全 局 参数 Root Path Cost 设 置 为 0。 
本 例 中 ss、E2 端 口 记 录 了 最 优 的 参数 ， 因 此 更 新 全 局 参数 如 图 所 示 ， 
Designated Root 为 E2 端 口 记 录 的 Designated Root; Root Path Cost 为 
E2 端 口 记录 的 Designated Cost (200) 和 E2 端 口 的 Port Cost (200) 
之 和 (400) 。 
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E1 端 口 参数 
32768. 
00e0-fc41-43b9 


32768. 
00e0-fc41-43b9 


5 | 1284 | 
00e0-fc16-ee43 > 


E3 端 口 参数 





























32768. 
00s0sfc41-43b9 


32768. 32768; 
00e0-fc41-43b9 ey 00e0-fc41-43b9 
( 2 2768 
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根 交 换 机 ， 根 端口 ， 根 路 径 开销 计算 完成 3 并 更 新 了 交换 机 全 局 参数 之 
后 ， 启 动 指 定 端口 选择 过 程 ， 决 定 非 根 端 目 是 否 可 以 成 为 指定 端口 。 


满足 下 列 条 件 之 一 的 ， 成 为 所 连 网 段 止 的 指定 端口 : 

1. 已 经 被 选 为 指定 端口 ， 即 端口 所 记录 的 Designated Bridge 为 交换 机 自 
身 的 交换 机 标识 ，Designated Port 为 端口 自身 的 端口 标识 ; 

2. 端口 参数 中 的 Designated Reot 和 交换 机 全 局 参数 Designated Root 不 
一 致 ; 

3. 交换 机 全 局 参数 Designated Root 和 端口 参数 Designated Root 一 致 ， 
但 是 交换 机 全 局 参数 Root Path Cost 比 端口 参数 Designated Cost 更 优先 


4. 全 局 参数 中 的 根 交 换 机 和 根 路 径 开销 都 和 端口 记录 的 一 致 ， 但 是 交换 
机 自身 的 交换 机 标识 比 端口 记录 的 Designated Bridge 更 优先 ; 

5. 全 局 参数 中 的 根 交 换 机 和 根 路 径 开 销 都 和 端口 记录 的 一 致 ， 交 换 机 自 
身 的 交换 机 标识 和 端口 记录 的 Designated Bridge 一 致 ， 但 是 端口 自身 的 
标识 比 端 口 记录 的 Designated Port 更 优先 。 
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E1 端 口 参数 
32768. 32768. 
00e0-fc41-43b9 00e0-fc16-ee43 
32768. 32768. 
00e0-fc41-43b9 00e0-fc41 -43b9 
| 128.1 Am 














E3 端 口 参数 
32768. 132768. 
32768. ; 00e0-fc41-43b9 00e0-fe16-ee43 
0 | | 
| 、 Ss N37765- 
E2 \ 2 00e0-fc41-43b9 1 080-fc41-43b9 


于 | ms KK” ws 
00e0-fc41-43b9 
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确定 一 个 端口 可 以 成 为 指定 端口 之 后 ， 交 换 机 需要 修改 指定 端口 的 参数 
， 修 改 规则 如 下 : 

Designated Root 设 置 为 交换 机 全 局 参数 Designated Root; 

Designated Cost 设 置 为 交换 机 全 局 参数 Root Path Cost; 

Designated Bridge 设 置 为 交换 机 自身 的 Bridge Identifier; 


Designated Port 设 置 为 端 各 自身 的 Port Ildentifier 。 
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收 到 新 的 配置 BPDU 


32768. BPDU 中 的 参数 


00e0-fc16-ee43 32768. 
00e0-fc16-ee43 


32768. 
00e0-fc16-ee43 


修改 后 的 E1 端 口 参数 
32768. 
00e0 fT cea3 | 00e0-fc16-ee43 
$2768. 
00e0-fc41-43b9 | ~ 全 0e0-fc16-ee43 
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假设 处 理 完 E2 端 口上 收 到 的 配置 BPDU 之 后 SSWC 又 从 E1 端 口上 收 到 
SWA 发 送 的 配置 BPDU， 处 理 过 程 如 前 所 述 ， 首 先 比较 端口 参数 和 配置 
BPDU 中 的 参数 ， 发 现 新 收 到 的 BRDU 此 端口 记录 的 参数 更 优先 ， 因 此 
修改 E1 端 口 的 参数 。 
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重新 计算 根 交换 机 、 根 端口 和 根 路 径 开 销 


E1 端 口 参 数 


00e0-fc16-ee43 


32768. 
32768. 
00e0-fc16-ee43 32768. 
00e0-fc16-ee 
768. 


| 
ml 
QQ 


E2 端 口 参数 32768 
32768. 00e0-fc16-ee43 
00e0-fc16-ee43 一 | 40 | 
ea » 
32768. \ 00e0-fc41-43b9 
00e0-fc41-4259 
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根据 如 前 所 述 的 规则 ， 重 新 启动 计算 根 交 换 机 、 根 端口 和 根 路 径 开销 的 
过 程 ，E1 端 口 被 选择 为 新 的 根 端口 。 


选择 新 的 根 端口 之 后 ， 重 新 修改 交换 机 全 局 参数 ，Root Path Cost 修 改 
为 200， 根 端口 更 新 为 E1。 
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E3 端 口 参数 i 
32768. 
32768. | 
00e0-fc16-ee43 ee c16-ee43 
32768. 人 32768. 
00e0-fc41-43b9 | Doe0-fc41-43b9 


32768. 
00e0-fc16-ee43 


32768. 
00e0-fc41-4259 
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按照 如 前 所 述 规 则 ， 检 测 除了 新 的 根 端 因 之 处 的 其 它 端 口 是 否 可 以 成 为 
指定 端口 ， 不 能 成 为 指定 端口 的 ， 成 为 预备 端口 (Alternate Port) 。 


本 例 中 : 

E3 端 口 符合 成 为 指定 端口 的 条 件 《名 前 所 述 条 件 列 表 第 一 条 ) ， 因 此 
E3 端 口 成 为 指定 端口 ; 

E2 端 口 不 符合 成 为 指定 端口 的 任何 条 件 ， 因 此 E2 端 口 成 为 预备 端口 ( 
Alternate Port) 。 
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口上 发 送 配 置 BPDU 


全 局 参数 


32768. 
00e0-fc16-ee43 
Ee 
| ET | 
32768. 
00e0-fc41-43b9 


配置 BPDU 中 的 参数 
32768. 
00e0-fc16-ee43 
32768. . | 20 | 
00e0-fc16-ee43 32768. 
= DSN ES 
32768. Bb ' [| ‘p20 


00e0-fc41-43b9 
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交换 机 在 指定 端口 上 向 外 发 送 配 置 BPDYS 


配置 BPDU 中 的 参数 设置 规则 如 下 

1. Root ldentifier 设 置 为 端口 参数 Designated Root， 也 即 全 局 参数 
Designated Root; 

2. Root Path Cost 设 置 为 端口 参数 Designated Cost， 也 即 全 局 参数 
Root Path Cost; 

3. Bridge ldentifier 设 置 为 交换 机 自身 的 Bridge Identifier ; 

4. Port Identifier 设 置 为 发 送 端口 的 Port ldentifier。 
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例 目 录 


. 环 路 引起 的 问题 
. 生成 树 基本 1 
. 配置 
.拓扑 改变 信息 
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拓扑 结构 改变 导致 MAC 地 址 表 错 误 

















错误 目的 端口 ， 
应 当 修正 为 E2 








新 根 端口 


00-0D-56-BF-88-20 
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默认 情况 下 ，MAC 地 址 表 中 的 动态 表 项 生存 期 为 300 秒 (5 分 钟 ) 。 


本 例 中 : 

稳定 拓扑 下 ， 在 SWC 上 到 达 LAND 茶 RC 的 目的 端口 应 当 为 E1; 

当 SWB 的 E1 接 口 断 开 之 后 ，E2 接 同 成 为 新 的 根 端 口 ， 从 SWC 到 达 该 
PC 的 目的 地 址 应 当 修 改 为 E2, 但 是 交换 机 不 能 检测 到 拓扑 改变 ， 导 致 
MAC 地 址 表 错 误 ， 最 长 可 导致 5 分 钟 的 数据 转发 错误 。 


解决 问题 的 办 法 : 当 拓 扑 结 构 改 变 之 后 ， 通 过 一 定 的 机 制 ， 使 拓扑 改变 
的 信息 在 整 网 内 泛 洪 ， 并 修改 MAC 地 址 表 的 生存 期 为 一 个 较 短 的 数值 ， 
等 拓扑 结构 稳定 之 后 ， 再 恢复 MAC 地 址 表 的 生存 期 。 


STP 规 定 这 个 较 短 的 MAC 地 址 表 生 存 期 使 用 交换 机 的 Forward Delay 参 
数 , 默 认为 15 秒 。 
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泛 洪 折 扑 改变 信息 


拓扑 改变 通知 BPDU 


一 


拓扑 改变 确认 配置 BPDW 
一 -一 一 一 一 一 


拓扑 改变 配置 BPDU 
一 一 一 一 一 一 一- 
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在 向 整 网 泛 洪 拓扑 改变 信息 的 过 程 中 ， 共 涉及 三 种 BPDU: 

1. 拓扑 改变 通知 BPDU: Topology.ChangesNotification BPDU。 用 于 非 
根 交 换 机 在 根 端口 上 向 上 行 交 换 机 通告 拓扑 改变 信息 ， 并 且 每 隔 Hello 
Time (2 秒 ) 发 送 一 次 ， 直 到 收 到 上 行 交 换 机 的 拓扑 改变 确认 配置 
BPDU 或 者 拓扑 改变 配置 BPDU。 

2. 拓扑 改变 确认 配置 BPDU: 和 侍 opology Change Acknowledgment 
Configuration BPDU。 配 置 BPDU 的 一 种 ， 和 普通 配置 BPDU 不 同 的 是 
此 配置 BPDU 设 置 了 一 完 Flag 位 。 用 于 非 根 交换 机 在 接收 到 拓扑 改变 通 
知 BPDU 的 指定 接口 e 虑 向 下 行 交换 机 发 送 拓 扑 改变 通知 的 确认 信息 。 

3. 拓扑 改变 配置 BPDU Topology Change Configuration BPDU。 此 配 
置 BPDU 设 置 了 另外 二 个 Flag 位 。 用 于 从 根 交 换 机 向 整 网 泛 洪 折 扑 改变 
信息 ， 所 有 交换 机 都 在 自己 所 有 的 指定 端口 上 泛 洪 此 BPDU。 


SWA 收 到 SWB 发 送 的 拓扑 改变 通知 BPDU 之 后 ， 每 隔 2 秒 向 网 络 中 发 送 
拓扑 改变 配置 BPDU (设置 了 一 个 Flag 位 的 配置 BPDU) ， 使 网 络 中 所 
有 的 交换 机 都 把 MAC 地 址 表 的 生存 期 修改 为 Forward Delay (15 秒 ) ， 
经 过 一 段 时 间 (Max Age 加 上 Forward Delay， 默 认为 35 秒 ) 之 后 ， 
SWA ( 根 交 换 机 ) 在 自己 发 送 的 配置 BPDU 中 ， 清 除 Flag 位 ， 表 示 网 络 
拓扑 已 经 稳定 ， 网 络 中 的 交换 机 恢复 MAC 地 址 生存 期 。 





HC Series HUAWEI TECHNOLOGIES 第 107 页 


HCDP-IESN Module 2 STP 


封闭 拓扑 改变 通知 BPDU 


DMAC SMAC Length 


4 4 











01-80-C2-00-00-00 ee 
Notification BPDU- | 


4 


DSAP SSAP 
01000010 01000010 
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拓扑 改变 通知 BPDU 和 配置 BPDU 使 用 的 是 相同 的 封装 方式 。 
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Protocol Identifier 


Ox0000 





Protocol Version Identifier 


Ox00 





BPDU Type 
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Ox80 


Wb huawel 


拓扑 改变 通知 BPDU 的 格式 比较 简单 ， 没 有 配置 BPDU 中 那么 多 参数 。 


Protocol Identifier 设置 为 全 0 ; 
Protocol Version Identifier 设置 为 全 0 ; 


BPDU Type 设置 为 二 进 制 10009000$ 即 十 六 进 制 0x80。 
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配置 BPDU 中 的 Flag 位 设置 





protocol Version dentfier 

UT 

Ei 
。 


拓扑 履 变 确 这 标志 
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拓扑 改变 确认 配置 BPDU 和 拓扑 改变 配置 BPBU 都 是 配置 BPDU 的 一 种 
， 和 普通 的 配置 BPDU 不 同 的 是 : 

普通 的 配置 BPDU 中 Flag 字 段 全 部 设置 为 0; 

拓扑 改变 确认 配置 BPDU 将 Flag 字 段 的 第 8 位 设置 为 1; 

拓扑 改变 配置 BPDU 将 Flag 字 段 的 第 1 位 设置 为 1。 
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问题 


生成 树 协 议 如 何在 网 络 中 计算 出 一 棵 无 环 的 树 ? 
生成 树 协议 如 何 解决 临时 环 路 问题 ? 
生成 树 协议 如 何 解决 拓扑 改变 引起 的 MAC 地 址 表 错 误 问 题 ? 
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生成 树 协议 如 何在 网 络 中 计算 出 一 棵 无 环 的 树 ? 

在 网 络 中 选 出 一 个 根 交 换 机 ， 为 每 父 非 根 交换 机 选择 一 个 根 端口 ， 为 
个 网 段 选 择 一 个 指定 端口 ， 将 既 不 是 根 端口 也 不 是 指定 端口 的 端口 设 为 
阻塞 状态 。 


生成 树 协议 如 何 解决 临时 环 路 问题 ? 
当 一 个 端口 从 不 转发 状态 转 为 转发 状态 之 前 ， 要 经 过 两 个 Forward 
Delay 间 隔 ， 以 确保 网 络 中 其 它 交换 机 完成 生成 树 计算 。 





生成 树 协议 如 何 解决 折 扑 改变 引起 的 MAC 地 址 表 错 误 问 题 ? 

拓扑 改变 之 后 、 拓扑 改变 信息 在 整 网 内 泛 洪 ， 交 换 机 将 MAC 地 址 表 生 存 
期 设置 为 下 个 较 短 的 数值 ， 拓 扑 结构 稳定 之 后 ， 交 换 机 再 恢复 MAC 地 址 
表 的 生存 期 。 
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HCDP-IESN Module 2 STP 


圈 前 言 


本 课程 介绍 RSTP (快速 生成 树 协议 ) 的 原理 和 配置 。 


RSTP 是 STP 的 升级 版 本 ， 与 STP 相 比 ， 最 显著 的 特点 就 是 通 人 
过 新 的 机 制 ， 加 快 了 收敛 速度 。 
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培训 目标 


RSTP 端 口 状态 的 迁移 
述 拓扑 结构 改变 信息 的 泛 洪 过 程 
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全 目录 


1. RSTP 基 本 计算 过 程 
2. RSTP 端 口 状 态 迁 移 
3. RSTP 拓 扑 改 变 信息 
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合 目 录 


1. RSTP 基 本 计算 过 程 
2. RSTP 端 口 状态 迁移 
3. RSTP 拓 扑 改 变 信息 
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选举 根 交 换 机 


32768. 
00e0-fc16-ee43 00e0 .fe 71 5a 


SWA 
Root Bridge XX 


32768. 
00e0-fc41-4259 


32768. 
00e0-fc41-43b9 SWD 
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如 同 STP 的 基本 计算 过 程 ，RSTP 计 算 的 第 一 步 也 是 选举 根 交换 机 ( 
Root Bridge) ， 根 交换 机 的 选举 基于 交换 机 标识 (Bridge Identifier) 。 


交换 机 标识 由 两 部 分 组 成 : 两 守节 长 度 的 交换 机 优先 级 和 六 字 节 长 度 的 
MAC 地 址 。 


交换 机 优先 级 是 可 以 配置 的 ， 取 值 范 围 是 0 一 65535， 默 认 值 为 32768。 


网 络 中 交换 机 标识 最 水 的 成 为 根 交换 机 ， 首 先 比较 优先 级 ， 如 果 优先 级 
相同 则 比较 MAC 地 址 ， 值 越 小 越 优先 。 


本 例 中 ， 三 个 交换 机 的 优先 级 是 相同 的 ， 由 于 SWA 的 MAC 地 址 值 最 小 
， 因 此 SWA 为 根 交 换 机 。 
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选举 非 根 交换 机 的 根 端口 


Root Port 
32768. 
00e0-fc16-ee43 00s0. 和 22.7158 


Root Bridge XX 


Root Port 


32768. 
00e0-fc41-4259 


Root Port 


32768. 
00e0-fc41-43b9 SWD 
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RSTP 为 每 个 非 根 交换 机 选举 根 端口 (Root Port) 。 

交换 机 的 每 个 端口 都 有 一 个 端口 开销 (Port Cost) 的 参数 ， 此 参数 表示 
数据 从 该 端口 发 送 时 的 开销 值 ， 也 即 出 端口 的 开销 。RSTP 认 为 从 一 个 
端口 接收 数据 是 没有 开销 的 。 

端口 的 开销 和 端口 的 带宽 有 关 ， 带 宽 越 高 ， 开 销 越 小 ，VRP 平 台中 ， 百 
兆 端口 的 802.1T 开 销 值 为 199999。 

从 一 个 非 根 交换 机 到 达 根 交换 机 的 路 径 可 能 有 多 条 ， 每 一 条 路 径 都 有 一 
个 总 的 开销 值 ， 此 开销 值 是 该 路 径 上 所 有 出 端口 的 端口 开销 总 和 。 

根 端口 是 指 从 一 个 非 根 交换 机 到 根 交 换 机 总 开销 最 小 的 路 径 所 经 过 的 本 
地 端口 。 这 个 最 小 的 总 开销 值 称 为 交换 机 的 根 路 径 开销 (Root Path 
Cost) 。 如 果 这 样 的 端口 有 多 个 ， 则 比较 端口 上 所 连接 的 上 行 交换 机 的 
交换 机 标识 ， 越 小 越 优先 ， 如 果 端 口上 所 连接 的 上 行 交 换 机 的 交换 机 标 
识 相同 # 则 比较 端口 上 所 连接 的 上 行 端口 的 端口 标识 (Port ldentifier) 
， 越 小 越 优先 4 

端口 标识 由 两 部 分 组 成 : 一 字 节 长 度 的 端口 优先 级 和 一 字 节 长 度 的 端口 
三 。 

一 字 节 长 度 的 端口 优先 级 是 可 配置 的 ， 默 认为 128。 

本 例 中 ， 假 设 所 有 端口 都 是 百 兆 端口 ， 使 用 相同 的 开销 值 199999。 
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选举 网 段 的 指定 端口 


Root Port 
32768. ee 32768. 
00e0-fc16-ee43 ES 3 00e0-fc22-715a 


Root Bridge Root Port 


LANA ) 


Root Port 


Designated Port 


32768. 
00e0-fc41-43b9 SWD 
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RSTP 为 每 个 网 段 选 出 一 个 指定 端口 (Designated Port) ， 指 定 端口 为 
每 个 网 段 转发 发 往 根 交 换 机 方向 的 数据 ,并 且 转 发 由 根 交 换 机 方向 发 往 
该 网 段 的 数据 。 指 定 端口 所 在 的 交换 栅 称 为 该 网 段 的 指定 交换 机 。 

为 每 个 网 段 选举 指定 端口 和 指定 交换 机 的 时 候 ， 首 先 比较 该 网 段 所 连接 
的 端口 所 属 交 换 机 的 根 路 径 开 销 ,N 越 小 越 优先 ， 如 果 根 路 径 开 销 相同 ， 
则 比较 所 连接 的 端口 所 属 交 换 机 的 交换 机 标识 ， 越 小 越 优先 ;如 果 根 路 
径 开 销 相同 ， 交 换 机 标识 也 相同 ， 则 比较 所 连接 的 端口 的 端口 标识 ， 越 
小 越 优先 。 

本 例 中 ，SWA 为 根 交 换 机 ， 因 此 所 有 端口 均 为 指定 端口 ;对 于 SWC 和 
SWB 之 间 的 链 路 ， 由 寺 该 链 路 所 连接 的 两 个 交换 机 SWC 和 SWB 的 根 路 
径 开销 相同 ,/ 因 此 比较 两 个 交换 机 的 标识 ，SWB 的 交换 机 标识 较 小 ， 
此 指定 端口 企 SWB 土 ; 对 于 LANA， 由 于 SWC 的 根 路 径 开 销 小 于 SWD 
的 根 路 径 开 销 ， 所 以 指定 交换 机 为 SWC， 由 于 SWC 有 两 个 端口 连接 到 
LANA,， 因 此 ,> 比较 两 个 端口 的 端口 标识 ， 黑 认 端 口 优先 级 相同 ， 为 128 
， 由 于 E0/1 的 端口 号 较 小 ， 因 此 LANA 的 指定 端口 是 SWC 的 E0/1 接 口 。 
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选举 预备 痛 口 和 备份 疹 口 


Root Port 
32768。 ”ES Te 32768,. 
00e0-fc16-ee43 ES er 00e0-fc22-715a 


SWA Designated Port SWB 


Root Bridge Alternate Port 4 


Root Port 


5 32768. 
SWC EO 00e0-fc41-4259 


Backup Port 


Root Port 


32768. 
00e0-fc41-43b9 SWD 
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对 于 既 不 是 根 端口 ， 也 不 是 指定 端口 的 交换 机 端口 : 


如 果 该 端口 属于 所 连接 网 段 的 指定 交换 机 > 则 端口 状态 设置 为 备份 端口 
(Backup Port) 


如 果 该 端口 不 属于 所 连接 网 段 的 指定 交换 机 ， 则 端口 状态 设置 为 预备 端 
口 (Alternate Port) 。 


预备 端口 主要 是 为 了 备份 根 端 周 ， 而 备份 端口 主要 是 为 了 备份 指定 端口 


o 


无 论 是 备份 端口 还 是 预备 端口 ， 都 不 处 于 转发 状态 。 
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交换 机 端口 角色 


端口 角色 描述 


根 端 口 ， 是 所 在 交换 机 上 离 根 交换 机 最 近 的 端口 ， 稳 定时 
Root Port 。 | 处 于 转发 状态 。 \4 


指定 端口 ， 转 发 所 连接 的 网 段 发 往 根 交换 机 方向 的 数据 和 
Designated Port | 从 交换 机 方向 发 往 所 连接 的 网 段 的 数据 ， 稳 定时 处 于 转发 
状态 。 


备份 端口 ， 不 处 于 转发 状态 ， 所 属 交换 机 为 端 妆 所 过 网 段 
Backup Port | 的 指定 交换 机 。 














预备 端口 ， 不 处 于 转发 状态 ， 所 属 交换 机 不 是 端口 所 连 网 
Alternate Port 段 的 指定 交换 机 。 
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如 前 所 述 ， 对 于 物理 层 和 数据 链 路 层 可 以 正常 工作 ， 并 且 开 启 了 RSTP 
的 交换 机 端口 ，RSTP 共 定义 了 四 种 端口 角色 ， 稳 定时 处 于 转发 状态 的 
有 根 端口 和 指定 端口 。 

底层 没有 开启 的 端口 称 为 Disable 端 同 。 
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例 目 录 


1. RSTP 基 本 计算 过 程 
2. RSTP 端 口 状态 迁移 
3. RSTP 折 扑 改变 信息 
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交换 机 端口 状态 





端 口 状态 


Discarding | 此 状态 下 端口 对 接收 到 的 数据 做 丢弃 处 理 ， 端 口 不 转发 数据 
甘 2 人 术 9 | 帧 ， 不 学 习 MAC 地 址 表 。 
OY Alternate Port 和 Backup Port 





Learning 此 状态 下 端口 不 转发 数据 帧 ， 但 是 学 习 MAC 地 址 表 , 小 与 计 
学 习 状 态 ”| 算 生成 树 ， 接 收 并 发 送 BPDU。 





Forwarding | 此 状态 下 端口 正常 转发 数据 帧 ， 学 习 MAC 地 址 表 s%, 人 参与 计算 
转发 状态 生成 树 ， 接 收 并 发 送 BPDU。 
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与 STP 不 同 ，RSTP 只 定义 了 三 种 端口 状态 :wDiscarding (丢弃 ) 状态 
，Learning (学 习 ) 状态 ，Forwarding (转发 ) 状态 。 

预备 端口 (Alternate Port) 和 备份 端 吕 (Backup Port) 处 于 Discarding 
状态 ; 

指定 端口 (Designated Port) 和 根 端 口 (Root Port) 稳定 情况 下 处 于 
Forwarding 状 态 ; 

Learning 状 态 是 指定 端 吕 和 根 端 口 在 进入 转发 状态 之 前 的 一 种 临时 状态 


o 
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端口 状态 迁移 原则 


存在 环 路 风险 ， 需 已 确认 无 环 路 风险 或 者 SC 
等 待 其 它 交 换 机 完成 已 等 待 足够 长 时 间 可 
计算 以 进行 状态 迁移 





Copyright@ 2012 Huawei Technologies Co., Ltd. All rights reserved. Page12 N23 HUAWEI 


根据 选举 规则 ， 确 定 端口 角色 之 后 ， 需 要 根据 端口 角色 设置 端口 状态 。 
将 端口 状态 从 Forwarding 状 态 迁 移 到 Discarding 状 态 〈 从 根 端 口 或 者 指 
定 端口 变 成 预备 端口 或 者 备份 端 辐 ) 是 不 会 出 现 环 路 风险 的 ， 可 以 不 经 
过 等 待 立 即 转换 ; 

将 端口 状态 从 Forwarding 状 态 迁 移 到 Forwarding 状 态 (从 根 端口 变 成 指 
定 端口 或 者 从 指定 端口 变 成 根 端 口 ) 也 不 会 引起 环 路 风险 ， 也 可 以 不 经 
过 等 待 立即 转换 ; 

端口 状态 迁移 时 能 引起 环 路 风险 的 是 从 Discarding 状 态 迁 移 到 
Forwarding 状 态 % 众 预备 端口 或 者 备份 端口 变 成 根 端口 或 者 指定 端口 ) 

， 在 STP 中 ， 从 不 转发 状态 迁移 到 Forwarding 状 态 需要 等 待 两 次 
Forward Delay 间 隔 才 能 迁移 ， 以 保证 网 络 中 需要 进入 不 转发 状态 的 端 
口 有 足够 的 时 间 完 成 计算 。 但 是 RSTP 对 此 做 了 改进 。 

RSTP (快速 生成 树 ) 的 主要 设计 原则 是 ， 在 没有 临时 环 路 风险 的 情况 
下 ， 使 原本 处 于 不 转发 状态 下 的 端口 在 成 为 指定 端口 或 根 端口 之 后 ， 尽 
可 能 快 的 进入 Forwarding 状 态 ， 加 快 收敛 速度 。 

因此 > 如何 确认 网 络 中 有 没有 环 路 风险 是 RSTP 的 重要 内 容 。 
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选举 新 的 根 端口 一 无 环 路 风险 情形 


00e0-fc16-ee43 


LANA 的 指定 端口 LANB 的 指定 端口 X 


32768. 
00e0-fc41-4259 
预备 端口 


LANC 的 新 根 端口 
指定 端口 立即 转发 
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一 个 非 根 交换 机 选举 出 一 个 新 的 根 端 口 之 后 如 果 以 前 的 根 端口 已 经 不 
处 于 Forwarding 状 态 ， 则 新 的 根 端口 立即 进入 转发 状态 。 


本 例 中 : SWC 上 与 LANB 相 连 的 端口 为 根 端口 ， 假 设 此 端口 断 开 ， 即 不 
再 处 于 转发 状态 ， 则 SWC 需 要 重新 选择 一 个 根 端口 ， 与 LANC 相 连 的 端 
口 于 是 从 预备 端口 成 为 新 的 根 庙 口 。 由 于 旧 的 根 端口 已 经 不 再 处 于 转发 
状态 ， 因 此 网 络 中 没有 环 路 风险 ， 新 的 根 端口 可 以 立即 进入 转发 状态 。 








第 126 页 HUAWEI TECHNOLOGIES HC Series 


HCDP-IESN Module 2 STP 


32768, 
00680-fc4 人 43b9 
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边缘 端口 (Edge Port) 是 指 不 连接 任何 交换 机 的 端口 。 
当 把 一 个 交换 机 端口 配置 成 为 边缘 端口 之 后 ， 一 旦 端口 被 启用 ， 则 端口 
立即 成 为 指定 端口 (Designated Rort) 3 并 进入 转发 状态 。 
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选举 新 的 指定 端口 一 “Proposal 一 Agreement” 
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RSTP 使 用 “Proposal- Agreement 协商 机 制 加 快 非 边缘 端口 成 为 新 的 
指定 端口 之 后 ， 从 Discarding 状 态 进 入 Forwarding 状 态 的 速度 。 

本 例 中 ， 假 设 最 初 网 络 中 各 交换 机 的 优先 级 优先 次 序 为 
SWA>SWB>SWC>SWD; 因此 SWA 为 根 交 换 机 ，SWD 的 E0/1 为 
Alternate Port， 处 于 Discarding 状 态 。 假 设 修改 SWD 的 交换 机 优先 级 使 
优先 级 次 序 为 SWD>SWA>SWB>SWC; 协商 机 制 的 工作 过 程 如 下 : 

1.SWD 立 即 成 为 根 交 换 机 ，EO/1 和 E0/2 立 即 成 为 指定 端口 ，E0/2 保 持 
转发 状态 不 变 ，E0O/1 向 外 败 送 一 个 Proposal (建议 ) ，Proposal 是 设置 
了 一 个 标志 位 的 RSFBRPRDU， 此 BPDU 中 同时 包含 计算 生成 树 的 参数 ; 
2. SWC 收 到 Proposal 之 后 ， 计 算 生成 树 ， 设 置 E0/1 为 根 端口 ， 保 持 转 
发 状态 ，E0 人 2 六 指定 端口 。 如 果 收 到 Proposal 的 端口 是 新 的 根 端口 ， 则 
设置 所 有 非 按 缘 指定 端口 为 Discarding 状 态 ， 并 向 外 发 送 新 的 Proposal 

， 如 果 所 有 的 非 根 端 口 都 需要 进入 Discarding 状 态 或 者 是 边缘 端口 ， 则 
直接 在 接收 到 Proposal 的 根 端口 上 向 外 发 送 Agreement; 本 例 中 ，SWC 
设置 E0/2 为 Discarding 状 态 并 向 外 发 送 新 的 Proposal; 

3. SWA 收 到 Proposal 之 后 ， 计 算 生成 树 ， 设 置 E0/1 为 预备 端口 ， 设 置 
E0/2 为 根 端口 ， 如 果 收 到 Proposal 的 端口 需要 进入 Discarding 状 态 ， 则 
在 该 端口 进入 Discarding 之 后 ， 向 外 发 送 一 个 Agreement (同意 ) ; 
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4. SWC 的 E0/2 收 到 Agreement 之 后 ， 立 即 进入 转发 状态 ， 在 所 有 非 边 
缘 指 定 端口 收 到 Agreement 之 后 ，SWC 在 根 端口 上 向 外 发 送 Agreement 


了 


5. SWD 在 指定 端口 上 收 到 Agreement 之 后 ， 立 即 进入 转发 状态 。 
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协商 机 制 的 前 提 一 点 到 点 链 路 


过 早 进入 
Poposal| 转发 状态 


LAN 


We NSS 
ss R 
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使 用 “Proposal - Agreement 的 前 提 是 泛 洪 这 两 种 消息 的 链 路 均 为 点 到 
点 链 路 ， 点 到 点 链 路 是 指 两 个 交换 机 直接 相连 的 链 路 。 

之 所 以 必须 使 用 点 到 点 链 路 是 因为 点 到 多 点 链 路 有 环 路 风险 。 如 图 所 示 
，SWA 向 外 发 出 一 个 Proposal 广 后 具 由 于 SWC 是 网 络 边缘 ， 因 此 迅速 
返回 一 个 Agreement， 使 SWA 的 新 指定 端口 进入 转发 状态 ， 但 是 此 时 

SWB、SWD 和 SWE 等 尚未 完成 Proposal - Agreement 的 泛 洪 过 程 ， 
此 ， 网 络 中 存在 环 路 风险 。 所 以 使 用 此 “Proposal - Agreement' 要求 交 
换 机 间 链 路 必须 为 点 到 点 链 路 。 

事实 上 ， 如 果 交 换 栅 间 的 链 路 没有 被 配置 为 点 到 点 链 路 ， 泛 洪 过 程 会 自 
动 停 止 ， 需 要 从 Discarding 状 态 进 入 Forwarding 状 态 的 端口 要 等 足够 长 
时 间 (两 倍 Forward Delay) 才能 进入 Forwarding 状 态 。 

实质 上 ，“Proposal - Agreement" 机 制 是 一 种 在 点 到 点 链 路 上 的 “触发 
计算 -确认 * 机 制 ， 这 种 “触发 计算 - 确认 ”过 程 在 点 到 点 链 路 上 泛 洪 
， 一 直到 达 网 络 末端 (边缘 交换 机 ， 即 非 根 端口 均 为 边缘 端口 ) 或 者 预 
备 端 同 (Alternate Port， 处 于 Discarding 状 态 ， 表 示 环 路 已 被 打 断 ) 。 
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迁移 


新 预备 端口 
暂 未 停止 转 狼 \ 


LANC ) 


预备 端口 
新 根 端口 
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如 图 所 示 : 当 SWD 选 举 出 新 的 根 端 口 之 后》 * 旧 的 根 端口 成 为 新 的 指定 端 
口 ， 保 持 转 发 状态 不 变 ， 如 果 在 SWB 的 E90/2 (新 的 预备 端口 ) 没有 及 时 
进入 Discarding 状 态 之 前 ，SWD 的 E072, (新 的 根 端口 ) 就 进入 
Forwarding 状 态 ， 则 网 络 中 会 形成 临时 环 路 。 


所 以 ， 该 组 网 中 ， 在 SWD 的 E9/2 成 为 新 根 端口 后 ， 立 即 阻 断 SWD 的 所 
有 指定 端口 ，E0/1 作 为 新 的 指定 端口 被 置 为 Discarding 状 态 ， 然 后 新 的 
根 端口 E0/2 立 即 进入 转发 态 %6 被 置 为 Discarding 的 指定 端口 E0/1 采 用 
Proposal -Agreement 机 制 快 速 变 为 Forwarding 状 态 。 
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配置 RSTP 一 基本 配置 
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本 例 中 ， 要 求 通过 修改 交换 机 优先 级 使 SWA 成 为 根 交 换 机 。 

配置 SWA 的 交换 机 优先 级 为 4096; “配置 SWB 的 交换 机 优先 级 为 8192; 
保持 SWC 的 交换 机 优先 级 为 默认 值 (32768) ， 使 SWA 成 为 根 交换 机 
， 使 各 端口 的 角色 如 图 所 示 。 

stp { enable | disable } 

stp 命 令 用 来 启动 或 关闭 交 措 和 会 局 或 端口 的 STP 功 能 ， 缺 省 情况 下 ， 交 
换 机 上 的 STP 功 能 处 于 启动 状态 。 

stp mode { stp | rstpy/mstp } 

stp mode 命 令 用 来 没 定 变换 机 的 STP 运 行 模式 ， 缺 省 情况 下 ,交换 机 的 
运行 模式 为 MSTP 模 式 。 

stp priority priority 

priority: fy 交 换 机 的 优先 级 ， 取 值 0~61440， 步 长 为 4096， 即 交换 机 可 
以 设置 16 个 优先 级 取 值 ， 如 0、4096、8192 等 。 

stp/priority 命 令 用 来 配置 交换 机 的 优先 级 ， 缺 省 情况 下 ， 交 换 机 优先 级 
取 值 为 32768 。 
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配置 RSTP 配置 点 到 点 链 路 类 型 


rnet 0/10 
tp point-to-point force-true 
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为 了 提高 RSTP 的 收敛 速度 ， 配 置 交换 机 和 交换 机 相连 的 链 路 为 点 到 点 
链 路 。 


stp point-to-point { force-true | foree 
force-true: 用 来 标识 与 当前 以 大 网 端口 相连 的 链 路 是 点 到 点 链 路 。 
force-false: 用 来 标识 与 当前 以 太 网 端口 相连 的 链 路 不 是 点 到 点 链 路 。 
auto: 采用 自动 方式 检测 与 该 以 太 网 端口 相连 的 链 路 是 否 是 点 到 点 链 路 


缺 省 为 auto， 如 果 当 前 以 太 网 端口 工作 在 全 双 工 模式 ， 则 当前 端口 相连 
的 链 路 就 被 认为 是 点 到 点 链 路 。 


SWB 和 SWC 的 配置 方法 类 同 
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[SWC]interface Ethernet 0/1 
[SWC-Ethernet0/1]stp edged-port enable 
[SWC-Ethernet0/1]quit 
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可 以 通过 命令 将 那些 所 连接 的 网 段 上 没有 其 他 交换 机 的 端口 配置 成 边缘 
端口 ， 这 样 可 以 提高 收敛 速度 。 

stp edged-port { enable | disable? 

enable: 用 来 配置 当前 的 以 太 网 端口 为 边缘 端口 。 

disable: 用 来 配置 当前 的 以 太 网 端口 为 非 边缘 端口 。 

缺 省 情况 下 ， 交 换 机 所 有 以 太 网 端口 均 被 配置 为 非 边缘 端口 。 





第 134 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IESN Module 2 STP 


例 目 录 


1. RSTP 基 本 计算 过 程 





2. RSTP 端 口 状态 迁移 
3.， RSTP 拓 扑 改变 信息 
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拓扑 结构 改变 导致 MAC 地 址 表 错 误 











错误 目的 端 昌 8 
应 当 修 还 为 E2 


LAND 了 1 
Es 00.0D-56-BF.88.20 
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默认 情况 下 ，MAC 地 址 表 中 的 动态 表 项 生存 期 为 300 秒 (5 分 钟 ) 。 

本 例 中 : 

稳定 拓扑 下 ， 在 SWC 上 到 达 LAND 染 PC 的 目的 端口 应 当 为 E1; 

当 SWB 的 E1 端 口 断 开 之 后 ，E2 端 口 成 为 新 的 根 端口 ， 从 SWC 到 达 该 
PC 的 目的 端口 应 当 修改 为 E2。 但 是 交换 机 不 能 检测 到 拓扑 改变 ， 导 致 
MAC 地 址 表 错 误 ， 最 长 可 导致 9 分钟 的 数据 转发 错误 。 

STP 响 应 拓扑 结构 改变 使 用 的 是 在 全 网 泛 洪 拓扑 改变 信息 ， 并 修改 MAC 
地 址 表 项 的 生存 期 为 地 个 较 短 值 (Forward Delay， 默 认为 15 秒 ) 。 

与 STP 不 同 ，RSTR 响 应 拓扑 结构 改变 使 用 的 是 部 分 删除 机 制 。 
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检测 到 拓扑 改变 一 边缘 端口 故障 


| 。 目的 MAC 地 址 
LANA 中 的 MAC 地 址 








LANC 中 的 MAC 地 址 
LAND 中 的 MAC 地 址 





边缘 端口 
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端口 状态 改变 时 ， 对 于 不 同 角色 的 端口 交换 机 拓扑 改变 处 理 模 块 的 处 
理 方 式 也 不 同 。 

如 图 所 示 ，SWB 的 E3 端 口 出 现 故障 ，SWB 检 测 到 E3 端 口 出 现 故 障 之 后 
， 将 MAC 地 址 表 中 以 E3 端 口 为 旧 的 端口 的 所 有 表 项 删除 ， 至 此 ， 处 理 
程 结 束 。 

边缘 端口 的 任何 状态 改变 都 不 会 导致 交换 机 向 其 它 交 换 机 发 送 拓扑 改变 
信息 。 
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检测 到 拓扑 改变 一 非 边 缘 转发 端口 


| AAA eeackk | | 


LAN B 中 MAC 地 址 
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如 果 一 个 非 边缘 转发 端口 出 现 故障 ， 例 如 图 申 所 示 ，SWB 的 E1 端 口 为 
根 端口 ，E2 为 预备 端口 ， 当 E1 端 口 出 现 故 障 之 后 ，RSTP 的 处 理 过 程 如 
下 : 

1. SWB 删 除 MAC 地 址 表 中 以 E 和 为 目的 端口 的 端口 表 项 ; 

2. 然后 重新 计算 生成 树 ， 选 举 E2 为 新 的 根 端口 ; 

3. 生成 树 重新 计算 完成 之 后 (需要 进入 转发 状态 的 端口 已 经 进入 了 转发 
状态 ) ， 在 所 有 的 非 边缘 转发 端口 上 向 外 发 送 拓扑 改变 通知 (Topology 
Change Notification) x?， 通 知 其 他 交换 机 网 络 拓扑 结构 发 生 了 改变 。 

当 一 个 非 边缘 端 国 从 Discarding 状 态 进 入 Forwarding 状 态 的 时 候 ， 也 被 
认为 是 网 络 拓扑 结构 发 生 了 改变 ， 交 换 机 也 会 在 所 有 处 于 转发 状态 的 非 
边缘 端口 上 人 包括 新 进入 Forwarding 状 态 的 端口 ) 发送 拓扑 改变 通知 ， 
并 非 只 有 端口 故障 才 被 认为 是 拓扑 改变 事件 。 
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RST BPDU 的 Flags 字 段 设 置 一 TCN 
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对 于 RST BPDU 中 的 Flags 字 段 ， 第 一 位 和 第 八 位 与 STP 使 用 的 配置 
BPDU 中 的 设置 是 一 致 的 ， 第 一 位 是 拓 扩 改变 标志 ， 第 八 位 是 拓扑 改变 
确认 标志 。 

在 纯 RSTP 环 境 中 ，RSTP 交 换 机 使 用 设置 了 拓扑 改变 标志 的 RST 
BPDU 表 示 拓 扑 改 变通 知 ， 通 知 其 他 RSTP 交 换 机 网 络 拓扑 发 生 了 变化 


在 STP 兼 容 环 境 中 ，RSTP 交 换 机 使 用 STP 中 的 拓扑 改变 通知 BPDU 做 

为 拓扑 改变 通知 ， 通 知 其 他 STP 交 换 机 网 络 拓扑 发 生 了 变化 。 

在 RSTP 中 ，Flags 字 段 的 第 八 位 (拓扑 改变 确认 标志 ) 没有 使 用 。 

在 使 用 设置 了 拓扑 改变 标志 的 RST BPDU 做 为 拓扑 改变 通知 时 ，TCN 定 
时 器 为 HellolTime 加 1 秒 ， 默 认为 3 秒 。 因 此 ， 当 需要 在 纯 RSTP 环 境 中 

发 送 TCN 时 ， 一 个 交换 机 通常 只 发 送 两 个 TCN。 
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收 到 拓扑 改变 通知 





LANC 中 的 MAC 地 址 
LAND 中 的 MAC 地 址 





新 根 端口 


Cy 
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当 一 个 RSTP 交 换 机 从 一 个 处 于 Forwarding 状 态 的 端口 上 收 到 TCN 之 后 

， 处 理 过 程 如 下 : 

1. 由 于 TCN 也 是 一 个 RST BPDU 入 其 中 包含 计算 生成 树 的 参数 等 信息 ， 
因此 收 到 一 个 TCN 之 后 ， 首 先 重新 计算 生成 树 (如 果 需 要 的 话 ) ; 

2. 计算 完成 并 且 端 口 状态 转换 完成 之 后 ， 删 除 以 Discarding 状 态 的 端口 
为 目的 端口 的 表 项 ; 如果 TCN 的 接收 端口 为 Forwarding 状 态 ， 则 保留 以 
该 接收 端口 为 目的 端口 的 表 项 : 保留 以 边缘 指定 端口 为 目的 端口 的 表 项 
; 删除 其 他 以 Forwarding 状 态 的 端口 为 目的 端口 的 表 项 ; 

3. 在 既 不 是 边缘 指定 端 晶 也 不 是 TCN 接 收 端口 并 且 处 于 Forwarding 状 态 
的 端口 上 继续 泛 洪 TGN。 
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问题 


RSTP 的 端口 角色 有 那些 ? 
指定 端口 上 的 快速 迁移 机 制 前 提 是 什么 ? 


RSTP 使 用 几 种 拓扑 改变 信息 ? 
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答案 : 
RSTP 的 端口 角色 有 那些 ? 


RSTP 的 端口 角色 有 根 端 口 、 指 定 端口 “预备 端口 和 备份 端口 四 种 ， 其 
中 根 端口 和 指定 端口 处 于 Forwarding 状 态 。 


指定 端口 上 的 快速 迁移 机 制 前 提 是 什么 ? 
指定 端口 所 连接 的 链 路 为 点 到 点 链 路 。 


RSTP 使 用 几 种 拓扑 改变 信息 ? 
RSTP 只 使 用 一 种 拓扑 改变 信息 ， 即 设置 了 折 扑 改变 标志 的 RST BPDU 


o 
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圈 前 言 


本 课程 介绍 MSTP 〈 多 生成 树 协议 ) 的 原理 与 配置 。 
MSTP 用 于 解决 启用 VLAN 的 交换 网 络 中 的 环 路 问题 。 
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Mb huawel 


本 课程 介绍 MSTP (多 生成 树 协议 ) 的 原理 与 配置 。 
MSTP: Multiple Spanning Tree Protocol®s 


为 解决 启用 VLAN 的 交换 网 络 中 单个 生成 树 的 弊端 ，IEEE 开 发 了 MSTP 
，2005 年 版 本 的 IEEE802.1S 为 MSTP 当 前 的 标准 文档 。 
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培训 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 描述 MSTP 的 基本 概念 
。 描述 MSTP 高 级 配置 
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学 习 完 此 课程 ， 您 将 会 : 

描述 MSTP 的 基本 概念 ， 包 括 MST 域 内 计算 的 基本 概念 ， 以 及 MSTP 的 
基本 配置 等 内 容 ; 

描述 MST 区 域 间 路 径 的 计算 过 程 ， 理 解 跨 MST 区 域 的 路 径 选择 规则 ， 以 
及 相关 的 概念 ; 

描述 MSTP 高 级 配置 ， 包 括 针 对 不 同 交换 机 角色 的 各 种 保护 措施 等 。 
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全 目录 


1. MSTP 基 本 概念 
2. MSTP 高 级 配置 
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全 目录 


1. MSTP 基 本 概念 
2. MSTP 高 级 配置 
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单个 生成 树 的 弊端 一 部 分 VLAN 路 径 不 通 


通过 所 有 VLAN 
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如 图 所 示 ， 使 用 一 人 台 3700 连 接 终 端 网 段 FF 站 行使 用 两 条 链 路 连接 两 全 

5700。 

配置 VLAN2 通 过 两 条 链 路 上 行 ， 配 置 VSAN3 只 通过 一 条 链 路 上 行 。 

为 了 解决 VLAN2 的 环 路 ， 需 要 运行 御 成 树 ， 在 运行 单个 生成 树 的 情况 下 
， 假 设 3700 与 5700-B 相 连 的 端口 成 为 预备 端口 ， 进 入 Discarding 状 态 。 
此 时 ，VLAN3 的 路 径 被 断 开 , 就 无 法 上 行 到 5700-B。 
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单个 生成 树 的 歇 端 一 无 法 使 用 流量 分 担 








此 路 径 被 断 开 ， 不 
流量 分 担 
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如 图 所 示 ， 使 用 一 台 3700 连 接 终端 网 段 F 六 行使 用 两 条 链 路 连接 两 台 
5700 做 双 机 热 备 份 ， 并 实现 流量 分 担 。 

为 了 实现 双 机 热 备份 ， 需 要 在 3700 上 配置 两 条 上 行 链 路 为 Trunk 链 路 ， 
配置 两 条 链 路 上 都 允许 通过 所 有 VLAN ， 两 台 5700 之 间 的 链 路 也 配置 为 
Trunk 链 路 ， 人 允许 通过 所 有 VLAN。 

将 VLAN2 的 三 层 接口 配置 在 5700-A 上 ， 将 VLAN3 的 三 层 接口 配置 在 
5700-B 上 。 

我 们 希望 YLAN2 和 VLAN3 益 别 使 用 不 同 的 链 路 上 行 到 相应 的 三 层 接口 
， 可 是 如 果 网 络 申 员 有 兰 个 生成 树 ，3700 和 两 台 5700 所 形成 的 环 路 就 
会 被 打开 ， 例 如 ，3700 连 接 到 5700-B 的 端口 成 为 预备 端口 (Alternate 
Port) 并 处 于 Discarding 状 态 ， 则 VLAN2 和 VLAN3 的 数据 都 只 能 通过 一 
条 上 行 链 路 上 行 到 5700-A， 不 能 实现 流量 分 担 。 
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单个 生成 树 的 雌 端 一 次 优 二 层 路 径 


创建 VLAN3 的 三 
层 接口 


所 





[LVLAN2 | 





FE 全 


LANA ) 
= 一 
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如 图 所 示 ，3700 和 两 全 5700 相 连 的 链 路 配置 为 Trunk 链 路 ， 人 允许 通过 所 

有 VLAN， 两 台 5700 之 间 的 链 路 也 配置 为 Frunk 链 路 ， 人 允许 通过 所 有 

VLAN。 

运行 单个 生成 树 之 后 ， 环 路 被 拘 开 , \VLAN2 和 VLAN3 都 直接 上 行 到 

5700-A。 

在 5700-A 上 配置 VLAN2 的 三 层 接口 ， 在 5700-B 上 配置 VLAN3 的 三 层 接 

口 ， 则 VLAN3 到 达 三 层 接口 的 路 径 就 是 次 优 的 ， 最 优 的 路 径 应 当 是 直接 
上 行 到 5700-B。 
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MSTP 基 本 概念 一 多 生成 树 实例 
(MST Instance) 








有 LANA 用 
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MSTP 人 允许 将 一 个 或 多 个 VLAN 映 射 到 一 全 多 和 华 成 树 实例 (MST 
Instance) 上 ，MSTP 为 每 个 MST Instance 单 独 计算 根 交 换 机 ， 单 独 设 
置 端口 状态 ， 即 在 网 络 中 计算 多 个 生成 树 。 

每 个 MST Instance 都 使 用 单独 的 RSTP 算 法 ， 计 算 单 独 的 生成 树 。 

每 个 MST Intance 都 有 一 个 标识 (MSTID) ，MSTID 是 一 个 两 字 节 的 整 
VRP 平 台 支 持 16 个 MSTJnstance，MSTID 取 值 范 围 是 0 一 15 ， 默 认 所 有 
VLAN 映 射 到 MST InstancEs0 。 

本 例 中 ， 在 网 络 申 配置 两 个 MST Instance，VLAN2 映 射 到 MST 
Instance 1，VLAN3 映 射 到 MST Instance 2。 

通过 修改 交换 机 上 不 同 MST Instance 的 交换 机 优先 级 ， 可 以 将 不 同 的 交 
换 机 设置 成 不 同 MST Instance 的 根 交换 机 。 

本 例 中 设置 8700-A 为 MST Instance 1 的 根 交换 机 ; 设置 5700-B 为 
MST Instanee 2 的 根 交 换 机 。 

启用 了 多 个 MST Instance 之 后 ， 可 以 看 出 ，VLAN2 的 数据 直接 上 行 到 
5700-Ay VLAN3 的 数据 直接 上 行 到 5700-B。 如 此 ， 单 生成 树 的 浆 端 : 
流量 分 担 ， 某 些 VLAN 路 径 不 可 达 ， 二 层次 优 路 径 等 问题 都 可 以 得 到 解 
决 。 
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MST 配 置 表 (MST Configuration Table ) 


[4096 个 两 字 忆 元素 “ 


0x0000 Ox0000 








4 4 


此 数值 表示 VLAN 1 所 映射 到 的 此 数值 表示 VLAN 4094 所 映射 
MST Instance 的 MSTID 到 的 MST Instance 的 WMSTID 
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为 了 在 交换 机 上 标识 VLAN 和 MST Instance 的 映射 关系 ， 交 换 机 维护 一 
个 MST 配 置 表 (MST Configuration Table)s。 


MST 配 置 表 的 结构 是 4096 个 连续 的 两 字 节 元 素 组 ， 代 表 4096 个 VLAN ， 
第 一 个 元 素 和 最 后 一 个 元 素 设置 为 全 0; 第 二 个 元 素 表示 VLAN 1 映射 到 
的 MST Instance 的 MSTID ,第 至 个 元 素 表示 VLAN 2 映射 到 的 MST 
Instance 的 MSTID ， 依 些 类 推 & 倒数 第 二 个 元 素 (第 4095 个 元 素 ) 表示 
VLAN 4094 了 映射 到 的 MSTynmstance 的 MSTID 。 


交换 机 初始 化 时 ， 此 表格 所 有 字段 设置 为 全 0， 表 示 所 有 VLAN 了 映射 到 
Instance 0。 
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MSTP 基 本 概念 一 MST 区 域 (MST Region) 


RegionA 


RegionB 
Cs >、 令 
——_> \ 


SS 


Instance 1: 包含 VLAN2 sianced 有 要 VIAN2 


-~ 
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MSTP 人 允许 一 组 相 邻 的 交换 机 组 成 一 个 MST 区 域 (MST Region) 。 同 
一 个 区 域 的 交换 机 有 着 相同 的 VLAN 到 MS 人 Instance 的 映射 关系 。 


除了 Instance 0 之 外 (后续 介绍 ) ， 每 个 区 域 的 MST Instance 都 独立 计 
算 生 成 树 ， 不 管 是 否 包 含 相同 的 VEAN ， 不 管 VLAN 是 否 通过 区 域 间 链 路 
， 区 域 间 的 生成 树 计 算 互 不 影响 % 
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MST 配 置 标识 (MST Configuration Identifier ) 








Configuration Identifier 


Format Selector OX0D 





Configuration Name 区 域名 称 


Revision Level 修订 级 别 


MST 配 置 表 


Configuration Digest 摘要 
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交换 机 通过 MST 配 置 标识 (MST Configuration Identifier) 来 标识 自己 
所 在 的 区 域 。 

MST 配 置 标识 被 封装 在 交换 机 相互 发 送 的 BPDU 中 ， 如 图 所 示 ，MST 配 
置 标识 的 数据 结构 包括 四 部 分 筷 只 有 四 部 分 设置 都 相同 的 相 邻 交换 机 才 
被 认为 是 在 同一 个 区 域 中 。 

Configuration Identifier Forriat Selector: 配置 标识 格式 选择 符 ， 长 度 
为 一 个 字 节 ， 固 定 设置 为 0。 

Configuration Name:s 配 置 名 称 ， 也 就 是 交换 机 的 MST 域 名 ， 长 度 为 32 
字 节 。 每 个 交换 机 都 配置 一 个 MST 域 名 ， 默 认为 交换 机 的 MAC 地 址 。 
Configuration DigestX* 配置 摘要 ， 长 度 为 16 字 节 。 相 同 区域 的 交换 机 应 
当 维 护 相同 的 VLAN 到 MST Instance 的 映射 表 ， 可 是 MST 配 置 表 太 大 
8192 字 节 ) ， 不 适合 在 交换 机 之 间 相 互 发 送 。 此 字段 是 使 用 MD5 算 法 从 
MST 配 置 表 中 算出 的 摘要 信息 。 

Revision Bevel: 修订 级 别 ， 长 度 为 两 个 字 节 ， 默 认 取 值 为 全 0。 由 于 
Configuration Digest 是 MST 配 置 表 的 摘要 信息 ， 因 此 有 很 小 的 可 能 会 
现 MST 配 置 表 不 同 但 摘要 信息 却 相同 的 情况 ， 这 会 导致 本 来 不 在 同一 区 
域 的 交换 机 被 认为 在 同一 区 域 中 ， 此 字段 是 一 个 额外 的 标识 字段 ， 建 议 
不 同 的 区 域 使 用 不 同 的 数值 ， 以 消除 上 述 可 能 产生 错误 的 情况 。 
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MST Instance 的 基本 计算 过 程 


8192. 
00e0-fc41-4259 
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本 文 使 用 的 术语 MST Instance 指 MST Instanee 1 到 MST Instance 15， 
也 就 是 非 0 的 MST Instance，Instance 0 的 概念 和 相关 计算 后 续 章 节 介 绍 
每 个 MST Instance 的 基本 计算 过 程 也 就 是 RSTP 的 计算 过 程 ， 只 是 在 术 
语 上 有 些 差 别 : 

1. 计算 过 程 首 先 选择 此 MSTIhstance 的 MSTI Regional Root (MSTI 区 
域 根 交 换 机 ) ， 相 当 于 RSTP 申 的 根 交 换 机 。 选 举 的 依据 是 各 交换 机 配 
置 在 该 MST Instance 中 的 交换 机 标识 ， 如 同 RSTP， 此 交换 机 标识 由 交 
换 机 优先 级 和 MAC 地 址 两 部 分 组 成 ， 数 值 越 小 越 优 先 。 

2. 此 MST Instance 的 非 根 交换 机 选举 一 个 根 端口 ， 根 端口 为 该 交换 机 提 
供 到 达 此 MST Instance 的 MSTI Regional Root 的 最 优 路 径 。 选 举 的 依据 
为 Internal RootPath Cost (内 部 根 路 径 开 销 ) ， 表 示 一 个 交换 机 到 达 
相关 MSTFRegional Root 的 MST 区 域内 部 开销 ， 如 果 多 个 端口 提供 的 路 
径 开销 相同 ， 则 按 顺 序 比 较 上 行 交换 机 标识 、 所 连接 上 行 交 换 机 端口 的 
端 哲 标识 以 及 接收 端口 的 端口 标识 。 

3. 每 个 网 段 的 指定 端口 为 所 连接 网 段 提供 到 达 相 关 MSTI Regional Root 
的 最 优 路 径 。 

4. 预备 端口 和 备份 端口 的 选择 依据 和 RSTP 相 同 。 
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MSTP 基 本 配置 一 物理 拓扑 


E1/0/15 E1/0/15 用 
ye 


ba) 
-一 
MSTI E1/0/12 E1/0/13 MSTI | 
Regional Root Regional Root 











(Instance 1: VLAN2 | [Cnstance 2 PVANe? |) 
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如 图 所 示 ， 所 有 交换 机 之 间 的 链 路 配置 成 Jrunk 链 路 ， 并 配置 允许 通过 
所 有 VLAN。 


将 网 络 中 的 三 全 交换 机 都 配置 在 一 个 MST 区 域 中 ，Configration Name 
(MST 域 名 ) 为 “RegionA”"，RevVision Level 为 “人 ， 在 区 域 中 新 建 两 
个 MST Instance ，lnstance 了 包含 VLAN 2，Instance 2 包含 VLAN 3。 








通过 修改 交换 机 在 不 同 Instance 中 的 优先 级 ， 使 SWA 成 为 Instance 1 的 
根 交 换 机 ， 使 SWC 的 E470/13 成 为 Instance 1 的 预备 端口 (Alternate 
Port) ; 使 SWB 成 为 hstance 2 的 根 交 换 机 ， 使 SWC 的 E1/0/12 成 为 
Instance 2 的 上 祯 备 端 口 (Alternate Port) 。 


如 此 配置 ， 可 以 使 VLAN 2 和 VLAN 3 沿 不 同 的 链 路 上 行 ， 实 现 流量 分 担 
的 目的 ， 并 使 SWC 的 两 条 上 行 链 路 相互 备份 。 
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MSTP 基 本 配置 一 配置 SWA 的 MST 域 参数 


[SWA] stP enable 

[SWA] stp mode mstp 

[SWA] stp region-configuration 
[SWA-mst-region]region-name RegionaA 
[SWA-mst-region]revision-level 1 
[SWA-mst-region]instance 1 vlan 2 


[SWA-mst-region]instance 2 vlan 3 





[SWA-mst-region]active region-configuration 
[SWA-mst-region]quit 
[SWA] stp instance 1 priority 4096 


[SWA]stp instance 2 priority 8192 
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stp { enable | disable } 

stp 命 令 用 来 启动 或 关闭 交换 机 全 局 或 端口 的 MSTP 特 性 。 缺 省 情况 下 ， 
交换 机 上 的 MSTP 特 性 处 于 启动 状态 。 

stp mode { stp | rstp | mstp } 

stp mode 命 令 用 来 设置 交换 机 的 MSTP 工 作 模 式 。 缺 省 值 为 MSTP 模 式 
stp region-configuration 命 令 用 来 进入 MST 域 视图 。 

region-name name 

name: 交换 机 的 MST 域 名 (Configuration Name) ， 为 1~32 位 字符 串 
。 和 缺 省 情况 下 入 交 换 机 的 MST 域 名 为 交换 机 的 MAC 地 址 。 
revision-levelNevel 

level: MSTP 修 订 级 别 ， 取 值 范 围 为 0 一 65535。 缺 省 情况 下 ，MSTP 修 
订 级 别 取 值 为 0。 

instance instance-id vlan vlan-list 

instance 命 令 用 来 将 所 指定 的 VLAN 列 表 映 射 到 指定 的 MST Instance 上 
坟 缺 省 所 有 VLAN 了 映射 到 Instance 0 上 。 


active region-configuration 
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active region-configuration 命 令 用 来 激活 MST 域 的 配置 。 
stp [instance instance-id ] priority priority 


stp priority 命 令 用 来 配置 交换 机 在 指定 MST Instance 上 的 优先 级 ， 数 值 
为 4096 的 整数 倍 。 每 个 Instance 的 默认 Priority 为 32768。 


X 
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MSTP 基 本 配置 一 设置 RSTP 点 到 点 链 
路 和 边缘 端口 





[SWA-Ethernet1/0/12]stp point-to-point force-true 
[SWA]interface Ethernet 1/0/15 
[SWA-Ethernet1/0/15]stp point-to-point force-true 


es Ethernet 1/0/12 








[SWB-Ethernet1/0/13]stp point-to-point force-true 
[SWB]interface Ethernet 1/0/15 
[SWB-Ethernet1/0/15]stp point-to-point force-true 





Ee Ethernet 1/0/13 





[SWC]interface Ethernet 1/0/12 
[SWC-Ethernet1/0/12]stp point-to-point force-true 
[SWC]interface Ethernet 1/0/13 
[SWC-Ethernet1/0/13]stp point-to-point force-true 
[SWC]interface Ethernet 1/0/2 
[SWC-Ethernet1/0/2]stp edged-port enable 
[SWC]interface Ethernet 1/0/3 
[SWC-Ethernet1/0/3]stp edged-port enable 
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每 个 MST Instance 都 使 用 单独 的 RSTP 算 法 计算 生成 树 ，RSTP 的 快速 
收敛 机 制 对 每 个 MST Instance 都 是 有 效 的 s 

如 同 RSTP 的 配置 一 样 ， 此 处 ， 设 置 交 换 机 之 间 的 链 路 为 点 到 点 链 路 ， 
设置 SWC 的 E1/0/2 和 E1/0/3 两 个 端 丹 为 边缘 端口 。 

stp point-to-point { force-true | force-false 





auto } 

force-true: 用 来 标识 与 当前 以 汰 网 端口 相连 的 链 路 是 点 到 点 链 路 。 
force-false: 用 来 标识 与 当前 以 太 网 端口 相连 的 链 路 不 是 点 到 点 链 路 。 
auto: 采用 自动 方式 检测 与 该 以 太 网 端口 相连 的 链 路 是 否 是 点 到 点 链 路 
缺 省 为 auto， 央 检测 到 端口 工作 在 全 双 工 模式 下 的 时 候 ， 认 为 端口 所 连 
接 的 链 路 是 点 到 点 链 路 ， 当 检测 到 端口 工作 在 半 双 工 模式 下 的 时 候 ， 认 
为 端口 所 连接 的 链 路 不 是 点 到 点 链 路 。 此 处 使 用 强制 命令 设置 为 点 到 点 
链 路 。 

stp edged-port { enable | disable } 

stp\edged-port enable 命 令 用 来 将 当前 的 以 太 网 端口 配置 为 边缘 端口 。 
stp edged-port disable 命 令 用 来 将 当前 的 以 太 网 端口 配置 为 非 边缘 端口 
。 缺 省 情况 下 ， 交 换 机 所 有 以 太 网 端口 均 被 配置 为 非 边缘 端口 。 
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MSTP 基 本 配置 一 验证 MSTP 基 本 信息 


[SWA]display stp brief 
MSTID Port STP State Protection 
0 Ethernet1/0/12 FORWARDING NONE 
Ethernet1/0/15 FORWARDING NONE 
Ethernet1/0/12 FORWARDING NONE 
Ethernet1/0/15 FORWARDING NONE 
Ethernet1/0/12 FORWARDING NONE 
Ethernet1/0/15 FORWARDING NONE 











[SWB]display stp brief 
MSTID Port STP State Protecti6n 
0 Ethernet1/0/13 FORWARDING 
Ethernet1/0/15 FORWARDING 
Ethernet1/0/13 FORWARDING 
Ethernet1/0/15 FORWARDING 
Ethernet1/0/13 FORWARDING 
Ethernet1/0/15 FORWARDING 








Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. hPage17 2 HUAWEI 


暂时 忽略 Instance 0 的 信息 (后 续 介 绍 ) 乓 

在 SWA 上 ，Instance 1 的 两 个 端口 都 是 指定 端口 (Designated Port) ， 
表明 SWA 是 Instance 1 的 根 交 换 机 ; 

在 SWB 上 ，Instance 2 的 两 个 端口 都 是 指定 端口 (Designated Port) ， 
表明 SWB 是 Instance 2 的 根 交 换 机 。 
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MSTP 基 本 配置 一 验证 MSTP 基 本 信息 


[SWC]display stp brief 


MSTID 
0 


0 
0 
0 
5, 
2 
2 
2 


Port 
Ethernet1/0/2 
Ethernet1/0/3 
Ethernet1/0/12 
Ethernet1/0/13 
Ethernet1/0/2 
Ethernet1/0/12 
Ethernet1/0/13 
Ethernet1/0/3 
Ethernet1/0/12 
Ethernet1/0/13 


STP State 
FORWARDING 
FORWARDING 
DISCARDING 
FORWARDING 
FORWARDING 
FORWARDING 
DISCARDING 
FORWARDING 
DISCARDING 
FORWARDING 


Protection 
NONE 
NONE 
NONE 
NONE 
NONE 
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暂时 忽略 Instance 0 的 信息 (后 续 介绍 ) 后 
如 图 所 示 ， 在 Instance 1 中 ，SWC 的 E1/0 灶 3 成 为 预备 端口 (Alternate 
Port) ， 处 于 Discarding 状 态 ; 在 Instamce 2 中 ，SWC 的 E1/0/12 成 为 预 
备 端口 (Alternate Port) ， 处 手 Disearding 状 态 。 
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全 目录 


1. MSTP 基 本 概念 

















2. MSTP 高 级 配置 
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MSTP 工 作 模 式 





[SWB] stP mode stp 
[SWB] stp mode rstp 
[SWB] stp mode mstp 








工作 模式 
只 能 和 STP 交 换 机 交互 ， 只 能 在 端口 上 收发 配置 BPDU。 
运行 RSTP， 如 果 检 测 到 端口 相 邻 的 交换 机 运行 在 STP 
模式 下 ， 则 运行 STP。 
运行 MSTP， 如 果 检测 到 端口 相 邻 的 交换 机 运行 在 RSTP 
模式 下 ， 则 运行 RSTP， 如 果 检 测 到 端口 相 邻 的 交 摸 灿 
运行 在 STP 模 式 ， 则 运行 STP。 











[SWB] stp mcheck | 
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工作 模式 可 以 在 全 局 模式 下 配置 ， 也 可 以 在 端口 模式 下 配置 。 

三 种 工作 模式 总 的 原则 就 是 向 下 兼容 ，MSTP 兼 容 RSTP，RSTP 兼 容 
STP。 

如 果 MSTP 交 换 机 的 端口 上 曾经 连接 有 STP/RSTP 交 换 机 ， 则 该 端口 被 
迁移 到 STP/RSTP 兼 容 工作 模式 。 果 STP/RSTP 交 换 机 被 关机 或 移 走 
， 该 端口 无 法 自动 迁移 到 MSTR 模 式 下 工作 。 此 时 如 果 在 端口 上 执行 
mcheck 操 作 ， 则 该 端口 会 重新 迁移 到 MSTP 模 式 下 工作 。 

stp mcheck 命 令 用 来 在 当前 端口 执行 mcheck 操 作 。 
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设置 交换 机 为 主 用 /备用 根 交换 机 


[SWA] stp instance 0 root primary 
[SWAl]display stp instance 0 
[CIST Global Info] [Mode MSTP] 
CIST Bridge :0.000f-e212-f8el 
Bridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
CIST Root/ERPC :0.000f-e212-f8el / 0 
CIST RegRoot/IRPC :0.000f-e212-f8el / 0 
CIST RootPortId :0.0 
CIST Root Type :PRIMARY root 











[SWB]stp instance 0 root secondary 
[SWB]display stp instance 0 
[CIST Global Info] [Mode MSTP] 
CIST Bridge :4096.000f-e212-f890 
Bridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
CIST Root/ERPC :0.000f-e212-f8el / 199999 
CIST RegRoot/IRPC :4096.000f-e212-f890 / 0 
ICIST RootPortId $0 
CIST Root Type :SECONDARY root 
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VRP 平 台 支 持 将 交换 机 配置 为 主根 交换 机 或 者 备用 根 交 换 机 ， 和 避免 了 手 
动 配置 优先 级 的 麻烦 。 
[instance instance-id ] root primary 

命令 自动 修改 所 指定 的 Instance 的 优先 级 为 0， 使 此 交换 机 成 为 所 指定 
了 Instance 的 主 用 根 交换 机 。 
机 [instance instance-id ]rootsecondary 

命令 自动 修改 所 指定 的 Instance 的 优先 级 为 4096， 使 此 交换 机 成 为 所 
en 当主 用 根 交 换 机 故障 之 后 ， 可 以 立即 
成 为 主 用 根 交 换 机 。 
这 两 个 命令 的 月 的 是 为 了 提供 另 一 种 修改 STP 优 先 级 的 方式 。 
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配置 MSTP 最 大 跳 数 





[SWA]stp max-hops 30 
[SWA]display stp 


CIST Bridge :0.000f-e212-f8el 

Bridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 30 
CIST Root/ERPC :0.000f-e212-f8el / 0 

CIST RegRoot/IRPC :0.000f-e212-f8el / 0 

CIST RootPortId :0.0 

BPDU-Protection :disabled 

CIST Root Type :PRIMARY root 

TC or TCN received :3 

Time since last TC :0 days lh:23m:36s 
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MSTP 支 持 最 大 跳 数 的 概念 ， 在 MST BRBDY 申 ， 有 一 个 剩余 跳 数 (CIST 
Remaining Hops) 字段 ， 类 似 于 IP 报 文 申 看 TL 值 的 字段 。 

当 一 个 MST BPDU 从 MST 域 根 交 换 机 发 出 时 ， 此 字段 设置 为 此 MST 域 
根 交换 机 上 配置 的 最 大 跳 数 (Max Hops) 参数 ， 每 一 个 非 根 交换 机 在 
生成 自己 的 MST BPDU 并 向 下 游 发 送 时 ， 会 将 此 MST BPDU 中 的 剩余 
路 数字 段 设 置 成 从 上 游 交 换 栅 接收 到 的 MST BPDU 的 剩余 跳 数 减 一 。 

当 交 换 机 收 到 剩余 跳 数 为 0 的 MST BPDU 时 ， 会 将 此 MST BPDU 丢 弃 ， 
使 处 于 最 大 跳 数 之 外 的 交换 机 不 能 参与 生成 树 计算 ， 限 制 MST 域 的 规模 
stp max-hops 命 令 用 来 在 交换 机 上 设置 MST 域 的 最 大 跳 数 ， 此 命令 只 在 
MST 域 内 的 域 根 交换 机 上 起 作用 。VRP 平 台 支 持 1- 40 跳 ， 默 认为 20 跳 


o 








HC Series HUAWEI TECHNOLOGIES 第 165 页 


HCDP-IESN Module 2 STP 





调整 时 间 参 数 





[SWA]stp timer ? 
forward-delay Specify forward delay 
hello Specify hello time interval 


max-age Specify max age 








[SWA]stp timer-factor ? 
INTEGER<1-10> Aged out time factor 
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stp timer forward-delay centi-seconds 

centi-seconds: Forward Delay 时 间 参 数 号 取 值 范围 为 400~3000, 单 
位 为 百 分 之 一 秒 。 默认 取 值 为 15 秒 。 

stp timer hello centi-seconds 

centi-seconds: Hello Time 时 间 参 数 ， 取 值 范 围 为 100 一 1000， 单 位 为 
百 分 之 一 秒 。 默 认 取 值 为 2 秒 。 

stp timer max-age centissecorids 

centi-seconds: MaXAge 时 间 参 数 ， 取 值 范 围 为 600~4000， 单 位 为 百 
分 之 一 秒 。 默 认 取 值 为 20 秒 。 

stp timer-factor. number 

number: 用 来 设 定 超时 时 间 ， 设 定 的 数值 是 Hello Time 的 倍数 ， 范 围 1 
一 10。 缺 省 情况 下 ， 倍 数 为 3?。 表 示 如 果 在 端口 上 3 倍 Hello 间 隔 ( 共 6 秒 
) 没有 收 到 所 连接 网 段 的 指定 端口 发 出 的 BPDU， 则 认为 指定 端口 发 生 
故障 应 重新 计算 生成 树 。 
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网 络 直径 与 时 间 参 数 的 关系 





Hello Timer Forward Delay 


























[SWA]stp bridge-diameter ? 
INTEGER<2-7> Bridge diameter 


Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. Page24 2 HUAWEI 





当 Max Age 或 者 Forward Delay 配 置 不 合理 的 时 候 ， 会 使 网 络 中 可 能 产 
生 环 路 或 者 拓扑 改变 之 后 网 络 长 时 间 不 遂 s 

VRP 可 以 根据 配置 的 网 络 直径 和 Hello 间 隔 自动 计算 比较 合理 的 Max Age 
和 Forward Delay， 表 中 列 出 了 当 Hello 间 隔 为 2 秒 的 时 候 ， 根 据 不 同 的 
网 络 直径 ，VRP 自 动 计 算出 的 Max Age 和 Forward Delay 人 参数 。 

stp bridge-diameter bridgerum 

bridgenum: 交换 网 络 的 网 络 直径 ， 取 值 为 2 一 7 ， 缺 省 为 7。 
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配置 边缘 端口 保护 





[SWA] stP bpdu-protection 
[SWA] 
[SWA]display stp 


CIST Bridge :32768 .000f-e212-f8el 

Bridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
CIST Root/ERPC :32768.000f-e212-f8el / 0 

CIST RegRoot/IRPC :32768.000f-e212-f8el / 0 

CIST RootPortId :0.0 

BPDU-Protection :enabled 

TC or TCN received :0 





Time since last TC :0 days lh:19m:5s 
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边缘 端口 正常 情况 下 是 不 会 收 到 BPDU 的 仿 如 时 边缘 端口 收 到 了 伪造 的 
更 优 的 BPDU 会 重新 计算 生成 树 ， 造 成 拓扑 振荡 。 
stp bpdu-protection 用 于 开启 边缘 端口 的 保护 功能 ， 保 护 功能 开启 之 后 


， 如 果 在 边缘 端口 上 收 到 了 BPBU, 则 认为 交换 机 受到 了 攻击 ， 收 到 
BPDU 的 边缘 端口 将 自动 关闭 ， 需 要 网 络 管理 员 手动 开启 。 


默认 不 开启 边缘 端口 保护 功能 % 
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配置 根 交 换 机 的 指定 端口 保护 


[SWA] interface Ethernet 1/0/13 
[SWA-Ethernet0/0/13] stp root-protection 
[SWA]display stp interface Ethernet 1/0/13 





----[CIST] [Port13 (Ethernet1/0/13) ] [FORWARDING] ---- 
Port Protocol :enabled 
Port Role :CIST Designated Port 
Port Priority :128 
Port Cost(Dot1T) :Config=auto / Active=199999 
Desg. Bridge/Port :0.000f-e212-f8el / 128.13 
Port Edged :Config=disabled / Active=disabled 
Point-to-point :Config=auto / Active=true 
Transit Limit :3 packets/hello-time 
Protection Type :Root 
Num of Vlans Mapped :1 
PortTimes :Hello 2s MaxAge 20s FwDly 15s RemHop''O 
BPDU Sent :18 
TEN: 0 Config: 07 RST: 0, MSP: 18 
BPDU Received :0 
TECN O07 Config: 0; RS23 07 MBST: 0 
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网 络 设计 时 一 般 会 把 CIST 的 根 桥 和 备份 根 桥 放 在 一 个 高 市 宽 的 核心 域内 
但 是 由 于 维护 人 员 的 错误 配置 或 网 络 中 的 恶意 攻击 ， 网 络 中 的 合法 根 桥 
有 可 能 会 收 到 优先 级 更 高 的 配置 消息 ， 这 样 当前 根 桥 会 失去 根 桥 的 地 位 
，3| 起 网 络 拓扑 结构 的 错误 变动 -A 这 种 不 合法 的 变动 ， 会 导致 原来 应 该 
通过 高 速 链 路 的 流量 被 牵引 型 | 低 速 链 路 上 ， 导 致 网 络 拥塞 。 

Root 保护 功能 可 以 防止 这 种 情况 的 发 生 。 对 于 设置 了 Root 保护 功能 的 端 
口 ， 其 在 所 有 实例 上 的 端 由 角色 只 能 保持 为 指定 端口 。 一 旦 这 种 端口 上 
收 到 了 更 优 的 配置 消息 ss 该 端口 将 被 选择 为 非 指定 端口 ， 这 些 端口 的 状 
态 将 被 设置 为 Discarding 状 态 ， 不 再 转发 报 文 (相当 于 将 与 此 端口 相连 
的 链 路 断 开 )/。 当 在 足够 长 的 时 间 内 (Max Age， 默 认 20 秒 ) 没有 收 到 
更 优 的 配置 消息 时 ,端口 会 恢复 原来 的 正常 状态 ， 重 新 成 为 指定 端口 ， 
进入 转发 状态 。 

即 ， 该 保护 功能 用 于 保护 根 交换 机 的 指定 端口 回避 攻击 。 
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配置 环 路 保护 功能 


[SWB] interface Ethernet 1/0/13 
[SWB-Ethernet0/0/13] stp loop-protection 
[SWB]display stp interface Ethernet 1/0/13 





----[CIST] [Port13 (Ethernet1/0/13)] [FORWARDING]---- 
Port Protocol :enabled 
Port Role :CIST Root Port 
Port Priority :128 
Port Cost(Dot1T) :Config=auto / Active=199999 
Desg. Bridge/Port :0.000f-e212-f8el / 128.13 
Port Edged :Config=disabled / Active=disabled 
Point-to-point :Config=auto / Active=true 
Transit Limit :3 packets/hello-time 
Protection Type :Loop 
Num of Vlans Mapped :1 
PortTimes :Hello 2s MaxAge 20s FwDly 15s RemHop 0 
BPDU Sent :6 
TCN: 0, Config: 0, RST: 0, MST: 6 
BPDU Received :705 
TCM 0, Config: 0¢ RS 0, MOTS 705 
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依靠 不 断 接 收 上 游 交 换 机 发 送 的 BPDU ,se 交换 机 可 以 维持 根 端口 和 其 他 
阻塞 端口 的 状态 。 

但 是 由 于 链 路 拥塞 或 者 单 向 链 路 故障 ， 这 些 端口 有 可 能 会 收 不 到 上 游 交 
换 机 指定 端口 发 送 的 BPDU。 些 时 交换 机 会 重新 选择 根 端口 ， 根 端口 会 
转变 为 指定 端口 ， 而 阻塞 端口 会 迁移 到 转发 状态 ， 从 而 交换 网 络 中 会 产 
生 环 路 。 

环 路 保护 功能 会 抑制 这 种 环 路 的 产生 。 在 启动 了 环 路 保护 功能 后 ， 如 果 
根 端 口 或 Alternate 端 口 长 时 间 收 不 到 来 自 上 游 的 BPDU 时 ， 则 向 网 管 发 
出 通知 信息 〈 如 果 是 根 端 口 则 进入 Discarding 状 态 ) 。 而 阻塞 端口 则 会 
一 直 保 持 在 阻塞 状态 % 不 转发 报 文 ， 从 而 不 会 在 网 络 中 形成 环 路 。 直 到 
根 端口 收 到 BPDU ， 端 口 状态 才 恢 复 正 常 为 Forwarding 状 态 。 

因此 ， 环 路 保护 功能 会 抑制 由 于 链 路 拥塞 等 原因 产生 的 环 路 。 
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配置 TC-BPDU 保 护 功 能 





[SWB]tc-Protection ? 
threshold Set the threshold value 以 
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交换 机 在 接收 到 TC-BPDU 报 文 后 ， 会 执行 MAC 地 址 表 项 和 ARP 表 项 的 

删除 操作 。 当 有 人 伪造 TC-BPDU 报 文 恶 意 攻 击 交换 机 时 ， 交 换 机 短 时 

间 内 会 收 到 很 多 的 TC-BPDU 报 文 % 频繁 的 删除 操作 会 给 交换 机 融 来 很 

大 负担 ， 给 网 络 的 稳定 带 来 很 大 隐患。 

开启 了 TC-BPDU 报 文 攻击 的 保护 功能 后 ， 在 单位 时 间 内 ， 交 换 设备 处 

理 拓扑 变化 报 文 的 次 数 可 配置 。 如 果 在 单位 时 间 内 ， 交 换 设备 在 收 到 折 
扑 变 化 报 文 数量 大 于 配置 的 阅 值 ， 那 么 设备 只 会 处 理 阐 值 指 定 的 次 数 。 

对 于 其 他 超出 阔 值 的 拓扑 变化 报 文 ， 定 时 器 到 期 后 设备 只 对 其 统一 处 理 
一 次 。 这 样 可 以 避免 频繁 的 删除 MAC 地 址 表 项 和 ARP 表 项 ， 从 而 达到 保 
护 设备 的 目的 。 
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问题 


MST 配 置 标识 包括 几 部 分 ? 
CIST 包 括 几 部 分 ? 


Master 端 口 有 什么 作用 ? 
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答案 : 
MST 配 置 标识 包括 几 部 分 ? 


包括 配置 标识 格式 选择 符 ， 配 置 名 称 ， 配 置 摘要 ， 修 订 级 别 四 部 分 内 容 
。 只 有 四 部 分 都 一 致 的 相 邻 交换 机 ， 对 被 认为 是 在 同一 区 域内 部 。 











CIST 包 括 几 部 分 ? 


包括 CST 和 MST 区 域内 的 1ST 两 部 分 ， 用 于 连接 网 络 中 的 所 有 交换 机 和 
网 段 。 





Master 端 口 有 件 么 作用 ? 
用 于 连接 MSTNMnstance 到 CIST 的 总 根 。 





第 172 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IESN Module 2 STP 


谢谢 


www.huawei.com 
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四 令 庆 


Module 3 
接 入 技术 


四 令 庆 





802.1x 原 理 与 配置 
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鲁 前 
当前 ， 网 络 安全 已 超过 对 交换 能 力 和 服务 质量 等 的 需求 ， 成 
为 企业 用 户 最 关心 的 问题 之 一 。 
在 企业 网 络 中 ， 任 何 一 台 终 端的 安全 状态 都 将 直接 影响 到 整 X 
个 网 络 的 安全 。 而 传统 针对 病毒 的 防御 体系 是 以 孤立 的 单 点 
防御 为 主 ， 这 样 的 分 散 管理 无 法 避免 诸多 的 安全 威胁 。 
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培训 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
理解 并 解释 802.1x 技 术 原 理 
描述 802.1x 系 统 组 件 和 工作 过 程 
掌握 802.1x 的 简单 场景 配置 
掌握 诊断 802.1x 故 障 的 基本 能 
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例 目 录 


NAC 技 术 简介 
802.1x 工 作 原 理 
EAP 和 EAPOL 


802.1x 协 议 运行 过 程 














802.1x 业 务 配 置 











802.1x 基 本 故障 诊断 
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NAC: 网 络 准 入 控制 

病毒 、 蠕 虫 和 间谍 软件 等 威胁 损害 客户 利益 并 使 机 构 损 失 大 量 的 金钱 、 

生产 率 和 机 会 。 与 此 同时 ， 移 动 计算 的 普及 进一步 加 剧 了 威胁 。 移 动用 
户 能 够 从 家 里 或 公共 热点 连接 互联 网 或 办 公 室 网 络 ， 常 在 无 意 中 轻 易 地 
感染 病毒 并 将 其 带 进 企业 环境 ， 进 而 感染 网 络 。 网 络 准 入 控制 (NAC) 进 
行 了 专门 设计 ， 可 确保 为 访问 网 络 资源 的 所 有 终端 设备 (如 PC、 人 笔记 本 
电脑 、 服 务 器 、 智 能 电话 或 RBA 等 ) 提 供 足 够 保护 ， 以 增强 网 络 安全 。 
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NAC 技 术 产 生 背景 


企业 内 网 安全 面临 的 主要 问题 是 内 部 威胁 (高达 60%) ， 而 
终端 是 威胁 的 主要 来 源 : 


4 


现 有 安全 设备 难以 有 效 保护 网 络 : 

。 无 法 检查 网 络 内 计算 机 的 安全 状况 

。 缺乏 对 合法 终端 滥用 网 络 资源 的 安全 管理 
。 无 法 防止 恶意 终端 的 蕾 意 破 坏 
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大 多 数 机 构 都 使 用 身份 管理 及 验证 、 授 权 和 和 记 帐 (AAA) 机 制 来 验证 用 户 
并 为 其 分 配 网 络 访问 权限 ， 但 对 被 验证 用 疙 的 终端 设备 的 安全 状况 几乎 
不 起 任何 作用 。 如 果 不 通过 准确 方法 来 评估 设备 “状况 ”， 即 便 是 最 值 
得 信赖 的 用 户 也 有 可 能 在 无 意 间 通 过 受 感染 的 设备 或 未 得 到 适当 保护 的 
设备 ， 将 网 络 中 所 有 用 户 暴露 在 区 大 风险 之 中 。 

NAC 使 用 网 络 基 础 设施 对 试图 访问 网 络 资 源 的 所 有 设备 执行 安全 策略 检 
查 ， 从 而 限制 病毒 、 蠕 虫 和 间谍 软件 等 损害 网 络 安全 性 。 实 施 NAC 的 客 
户 能 够 仅 允 许 遵守 安全 策略 的 可 信 终 端 设备 (PC、 服 务 器 及 PDA 等 ) 访 问 
网 络 ， 并 控制 不 符合 策略 或 不 可 管理 的 设备 访问 网 络 。 
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NAC 技 术 产 生 背 景 ( 续 ) 


强化 内 防 内 控 ， 从 终端 入 手 强 化 弱点 管理 : 

终端 接 入 控制 : 防止 非法 终端 的 接 入 ， 降 低 不 安全 终端 的 威胁 
终端 访问 授权 : 防止 合法 终端 越权 访问 ， 保 护 企业 核心 资源 
端 安全 健康 性 检查 与 策略 管理 : 帮助 企业 落实 安全 管理 制度 
工行 为 管理 与 违规 审计 : 强化 行为 审计 防止 恶意 终端 破坏 
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NAC 基 本 概念 


NAC (Network Access Control): 也 称 为 网 络 接 入 控制 ， 是 
思科 最 先 提出 的 一 种 “ 端 到 端 ”的 安全 结构 。 

微软 的 NAP (网 络 访问 保护 ) 也 是 一 种 网 络 接 入 隔离 控制 技 
术 ， 与 NAC 框 架 类 似 ， 服 务 器 集成 在 Windows 2003 Servery 
客户 端 集成 在 Windows Vista 客 户 端 中 。NAP 服 务 器 与 客户 端 
配合 对 于 不 符合 当前 系统 运行 状况 要 求 的 计算 机 进行 强制 受 
限 网 络 访问 。 

H3C 的 EAD (Endpoint Admission Defense)， 称 为 端点 准 入 
防御 。 


4 
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NAP 还 支持 Windows 2008 和 XPSP3。 
。 网 络 访问 保护 NAP 技 术 (Network Agcess Protection) 是 为 微软 下 
一 代 操 作 系 统 Windows Vista 和 Windows Server Longhorn 设 计 
的 新 的 一 套 操作 系统 组 件 ， 官 可 以 在 访问 私有 网 络 时 提供 系统 平 
人 台 健 康 校 验 。NAP 平 台 提 供 了 一 套 完 整 性 校 验 的 方法 来 判断 接 入 
网 络 的 客户 端的 健康 状态 ， 对 不 符合 健康 策略 需求 的 客户 端 限制 














其 网 络 访问 权限 。 
。 为 了 校 验 访问 网 络 的 主机 的 健康 ， 网 络 架 构 需 要 提供 如 下 功能 性 
领域 : 








" 健康 策略 验证 :判断 计算 机 是 否 适应 健康 策略 需求 。 
叹 网 络 访问 限制 :限制 不 适应 策略 的 计算 机 访问 。 
" 自动 补救 :为 不 适应 策略 的 计算 机 提供 必要 的 升级 ， 使 其 

















适应 健康 策略 。 
= 动态 适应 :自动 升级 适应 策略 的 计算 机 以 使 其 可 以 跟 上 健 
康 策略 的 更 新 。 
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NAC 关 键 组 件 


NAC 包 含 三 个 关键 组 件 : 通信 代理 、 网 络 访问 控制 设备 和 策略 服务 
器 。 


ACS/SC 


策略 服务 器 


华为 S 系 列 交换 机 可 用 于 网 络 访问 控制 设备 。 


所 


和 过 
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通信 代理 也 就 是 安全 客户 端 ， 是 安装 在 用 户 终 端 系 统 上 的 软件 ， 是 对 用 
户 终端 进行 身份 认证 、 安 全 状态 评估 以 及 安全 策略 实施 的 主体 。 

网 络 访问 控制 设备 是 企业 网 络 中 安全 策略 的 实施 点 ， 起 到 强制 用 户 准 入 
认证 、 隔 离 不 合格 终端 、 为 合法 用 户 提供 网 络 服务 的 作用 。 安 全 联动 设 
备 可 以 采用 不 同 认 证 方式 (如 8021x、MAC 认 证 和 Portal 等 ) 的 端点 准 
入 控制 。 

策略 服务 器 也 就 是 管理 服务 器 NAC 方 案 的 核心 是 整合 与 联动 ， 其 中 的 
安全 策略 服务 器 是 NAC 方 案 中 的 管理 与 控制 中 心 ， 兼 具 用 户 管理 、 安 全 
策略 管理 、 安 全 状态 评估 安全 联动 控制 以 及 安全 事件 审计 等 功能 。 
华为 公司 的 S 系 列 交换 机 支持 802.1X、Portal、MAC 等 认证 控制 技术 ， 
能 够 作为 网 络 访问 控制 设备 配合 主流 通信 代理 和 策略 服务 器 共同 完成 
NAC 控 制 ， 为 企业 网 、 园 区 网 等 提供 安全 可 靠 的 访问 控制 。 
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NAC 认 证 方式 


针对 不 同 场景 ，NAC 提 供 了 灵活 的 接 入 控制 方式 : 
。 802.1x 认 证 接 入 (包括 旁 路 认证 ) 
。 MAC 地 址 认证 接 入 
。 Web 认 证 接 入 
S9300 除 了 提供 上 述 NAC 认 证 方式 以 外 ， 还 支持 : 
。 直接 认证 
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802.1X 认 证 接 入 : 
。 IEEE 802.1x 标 准 (以 下 简称 802. 翁 ) 的 主要 内 容 是 一 种 基于 端 
口 的 网 络 接 入 控制 (PortBasediNetwork Access Control) 协议 
。 “基于 端口 的 网 络 接站 控制 ”是 指 在 局 域 网 接 入 控制 设备 的 端 
口 这 一 级 对 所 接 入 的 设备 进行 认证 和 控制 。 连 接 在 端口 上 的 用 户 
设备 如 果 能 通过 认证 有 就 可 以 访问 局 域 网 中 的 资源 ; 如 果 不 能 通 
过 认证 ， 则 无 法 访问 局 域 网 中 的 资源 。 
。 802.1x 协 议 仅 关注 接 入 端口 的 状态 。 当 合法 用 户 (根据 帐号 和 密 
码 ) 接 入 时 该 端口 打开 ; 当 非 法 用 户 接 入 或 没有 用 户 接 入 时 ， 
该 端口 处 于 关闭 状态 。 认 证 的 结果 在 于 端口 状态 的 改变 ， 而 不 涉 
及 通常 认证 技术 必须 考虑 的 IP 地 址 协商 和 分 配 问 题 ， 是 各 种 认证 
技术 中 最 简化 的 实现 方案 。 
MAC 地 址 认证 接 入 : 
。 MAC 地 址 认证 是 一 种 基于 端口 和 MAC 地 址 对 用 户 的 网 络 访问 权 
限 进行 控制 的 认证 方法 ， 它 不 需要 用 户 安装 任何 客户 端 软 件 ， 用 
户 名 和 密码 都 是 用 户 设备 的 MAC 地 址 。 网 络 接 入 设备 在 首次 检 
疯 到 用 户 的 MAC 地 址 以 后 ， 即 启动 对 该 用 户 的 认证 。 
WEB 认 证 接 入 : 
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。 Web 认 证 也 称 Portal 认 证 ， 其 基本 原理 是 : 用 户 首 次 打开 浏览 
， 输 入 任何 网 址 ， 都 被 强制 重 定向 到 Web 服 务 器 的 认证 页 面 ， 只 
有 在 认证 通过 后 ， 用 户 才能 访问 网 络 资源 。 未 认证 用 户 只 能 访问 
特定 的 站 点 服务 器 。Web 认 证 通过 Web 页 面 输入 用 户 名 和 密码 ， 
使 用 Portal 协 议 完成 认证 过 程 。 

。 Portal 协 议 主要 用 于 Web 服 务 器 和 其 他 设备 之 间 的 信息 交互 。。 
Portal 协 议 基 于 客户 端 /服务 器 结构 ， 采 用 UDP 作为 传输 协议 s 
在 Web 认 证 中 ，Web 认 证 服务 器 和 S9300 之 间 的 通信 使 用 Rortal 
协议 ，S9300 为 客户 端 。Web 认 证 服务 器 从 认证 页 面 中 将 用 户 输 
入 的 用 户 名 和 密码 提取 后 ， 通 过 Portal 协 议 传送 给 S9300: 

S9300 单 独 提 供 的 直接 认证 : 

。 使 能 了 接口 的 直接 认证 功能 后 ， 从 该 接口 接 入 的 用 户 将 直接 通过 
认证 。 

。 直接 认证 无 全 局 开关 ， 直 接 在 接口 下 配置 direct-authen 使 能 ， 使 
能 后 不 修改 端口 转发 状态 。 

。 认证 模块 收 到 arp 或 者 dhcp 报 文 后 , s 问 服务 器 发 送 认 证 请 求 ， 该 
认证 无 需 用 户 名 密码 ， 将 直接 进行 授权 。 

。 直接 认证 支持 动态 下 发 VLAN 和 ACLs% 


。 本 课程 介绍 802.1x 认 证 方式 , 其它 认证 方式 相对 较 简 单 ， 学 员 可 
自行 参考 相关 手册 。 
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全 目录 


NAC 技 术 简 介 
802.1x 工 作 原 理 
EAP 和 EAPOL 


802.1x 协 议 运行 过 程 





802.1x 业 务 配 置 























802.1x 基 本 故障 诊断 
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IEEE802 LAN/WAN 委 员 会 为 解决 无 线 局 域 网 网 络 安全 问题 ， 提 出 了 
802.1x 协 议 。 后 来 ，802.1x 协 议 作 为 局 域 网 端口 的 一 个 普通 接 入 控制 机 
制 用 在 以 太 网 中 ， 主 要 解决 以 太 网 内 认证 和 安全 方面 的 问题 。 
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802.1x 体 系 结构 


802.1x 系 统 为 典型 的 Client/Server 体 系 ， 包 括 三 个 实体 : 
Supplicant system (客户 端 ) 、Authenticator system (设备 
端 ) 和 Authentication server system (认证 服务 器 ) 


| Authentication = ! 


| Supplicant system | | Authenticator system ! server system ! 








; | supplicant PAE | ; ! | Services offered by ee !, Authentication | ; 




















, » | 
! | Authenticator s ; EAP protocol 
!'! |system | exchanges | 
1 carriedin |! 




















Port ! higher layer | 
aunauthorized ! protocol 





LANWLAN 





图 1-1 802.1x 认证 系统 的 体系 结构 
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客户 端 是 位 于 局 域 网 段 一 端的 一 个 实体 由 连接 到 该 链接 另 一 端的 设备 
端 对 其 进行 认证 。 客 户 端 一 般 为 一 个 用 户 终端 设备 ， 用 户 通过 启动 客户 
端 软件 发 起 802.1x 认 证 。 客 户 端 软件 必须 支持 EAPOL (EAP over LANs 
， 局 域 网 上 的 EAP) 协议 。 
设备 端 是 位 于 局 域 网 段 一 端的 一 企 实体 ， 用 于 对 连接 到 该 链接 另 一 端的 
客户 端 进行 认证 。 设 备 端 通常 为 支持 802.1x 协 议 的 网 络 设备 (如 
Quidway 系 列 交换 机 ) ，, 它 为 客户 端 提供 接 入 局 域 网 的 端口 ， 该 端口 可 
以 是 物理 端口 ， 也 可 以 是 逻辑 端口 。 
认证 服务 器 是 为 设备 端 提供 认证 服务 的 实体 。 认 证 服务 器 用 于 实现 用 户 
的 认证 、 授 权 和 计 费 通常 为 RADIUS 服 务 器 。 该 服务 器 可 以 存储 用 户 
的 相关 信息 , /例如 用 户 的 账号 、 密 码 以 及 用 户 所属 的 VLAN、 优 先 级 、 
用 户 的 访问 控制 列表 等 。 
PAE (PortAccess Entity， 端 口 访问 实体 ) 
。 PAE 是 认证 机 制 中 负责 执行 算法 和 协议 操作 的 实体 。 设 备 端 
PAE 利用 认证 服务 器 对 需要 接 入 局 域 网 的 客户 端 执 行 认证 ， 并 
根据 认证 结果 相应 地 控制 受 控 端 口 的 授权 / 非 授 权 状 态 。 客 户 端 
PAE 和 负责 响应 设备 端的 认证 请 求 ， 向 设备 端 提交 用 户 的 认证 信息 
。 客 户 端 PAE 也 可 以 主动 向 设备 端 发 送 认 证 请 求 和 下 线 请 求 。 
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受 控 端 口 : 

。 设备 端 为 客户 端 提供 接 入 局 域 网 的 端口 ， 这 个 端口 被 划分 为 两 
个 虚拟 端口 : 受 控 端 口 和 非 受 控 端口 。 

。 非 受 控 端 口 始终 处 于 双向 连通 状态 ， 主 要 用 来 传递 EAPOL 协 议 
帧 ， 保 证 客户 端 始终 能 够 发 出 或 接受 认证 。 

。 受 控 端 口 在 授权 状态 下 处 于 连通 状态 ， 用 于 传递 业务 报 文 ; 在 SG 
非 授权 状态 下 处 于 断 开 状态 ， 禁 止 传递 任何 报 文 。 

。 受 控 端 口 和 非 受 控 端 口 是 同 一 端口 的 两 个 部 分 ; 任何 到 达 该 端 
口 的 帧 ， 在 受 控 端 口 与 非 受 控 端口 上 均 可 见 。 
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802.1x 工 作 原 理 


802.1x 认 证 接 入 : 


ACS/SC 


策略 服务 器 


。 ACS (Access Control Server)，Cisco NAC 解 决 方案 中 的 搂 天 控制 服务 器 组 件 
。 SC (Secospace Controller)， 华 为 NAC 解 决 方案 中 的 控制 器 组 件 
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交换 机 检测 到 新 的 MAC 上 线 后 发 起 EAP 记 证 请 求 。 

。 若 客 户 端 没有 响应 : 

s 达到 一 定 次 数 后 认为 未 安装 客户 端 软件 ， 此 时 开放 用 户 
权限 ， 仅 允许 用 为 访问 隔离 区 。 
a 过 一 段 时 间 (可 配置 ) 后 再 次 发 起 探测 。 

。 若 客 户 端 已 安装 ， 则 进行 802.1x 认 证 。 认 证 通过 后 ，PC 和 ACS 
之 间 建 立 HTTP 链 接 ， 由 ACS 对 PC 机 进行 安全 检查 ， 检 查 通过 后 
更 新 ACL ，PG 可 访问 工作 区 。 

车 客户 端 没 有 安装 s, 但 配置 了 MAC 旁 路 认证 功能 ， 则 将 用 户 MAC 作 为 
用 户 名 和 密码 进行 认证 。 如 果 认 证 失败 则 使 用 户 下 线 ， 并 保持 一 段 时 间 
内 不 再 发 起 认证 和 探测 ， 超 时 后 重新 开始 探测 过 程 。 此 时 如 果 用 户 下 载 
了 客户 端 ， 重 新 进行 EAP 认 证 ， 那 么 收 到 请 求 后 ， 会 先 让 该 用 户 下 线 ， 
再 响应 EAP 的 认证 请 求 。 

如 果 中 间 检 测 到 PC 感染 了 病毒 ， 则 下 发 ACL， 使 用 户 只 能 访问 隔离 区 
，4 并 通过 重 定 向 URL 要 求 用 户 更 新 病毒 库 或 者 打上 相应 补丁 。 

小 用 户 更 新 后 ，ACS 检 测 到 用 户 已 经 安全 ， 则 可 通过 RADIUS 
COA 接 口 更 新 ACL ， 人 允许 用 户 访问 工作 区 。 
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802.1x 工 作 原 理 ( 续 ) 


GUEST VLAN 功 能 : 
。 使 能 GUEST VLAN 后 ， 未 获 认证 授权 的 用 户 ， 被 临时 加 入 
GUEST VLAN， 只 能 访问 受 限 的 部 分 资源 (规划 在 GUEST XX 
VLAN 中 ) 。 
。 未 使 能 GUEST VLAN 时 ， 用 户 在 通过 认证 之 前 ， 不 能 访问 任何 网 
。 对 于 dot1x 且 端口 配置 为 port-based 情 况 ， 交 换 机 将 组 播 触 发 认证 
报 文 。 
a 若 达 到 最 大 发 送 次 数 后 仍 无 用 户 响应 ， 端 口 就 加 入 GUESTNVLAN， 
端口 下 所 有 用 户 只 能 访问 受 限 资源 。 
a 若 有 其 他 用 户 认证 成 功 ， 端 口 将 退出 GUESTXMLAN， 进 入 授权 状态 。 
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GUEST VLAN 的 使 用 需要 规划 好 ， 尽 量 丰 和 其 他 专用 VLAN 冲 突 ， 以 保 
证 用 户 在 无 访问 权限 时 ， 只 能 访问 病毒 库 / 客 户 端 下 载 /宣传 页 面 /DHCP 
服务 器 等 有 限 资源 。 
配置 GUEST VLAN 时 请 注意 : 
。 配置 的 Guest VLAN 必 须 已 经 创建 ， 且 不 能 是 接口 的 缺 省 VLAN 
。 接口 下 配置 Guest VEAN 以 后 ， 不 能 再 配置 将 该 接口 加 入 该 
VLAN， 也 不 能 直接 删除 该 VLAN。 
。 不 同 的 接口 可 以 配置 不 同 的 Guest VLAN。 
。 在 同一 视图 下 重复 执行 dot1x guest-vlan 命 令 ， 新 配置 覆盖 旧 配 
置 。 
Guest VLAN 的 功能 开户 后 : 
。 交换 机 将 在 所 有 开启 802.1x 功 能 的 端口 发 送 多 播 触 发 报 文 ; 
。 如 果 达 到 最 大 发 送 次 数 后 ， 仍 有 端口 尚未 返回 响应 报 文 ， 则 交 
换 机 将 该 端口 加 入 到 Guest VLAN 中 
。 之 后 属于 该 Guest VLAN 中 的 用 户 访问 该 Guest VLAN 中 的 资源 
时 ， 不 需要 进行 802.1x 认 证 ， 但 访问 外 部 的 资源 时 仍 需 要 进行 
认证 。 





Ea 
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802.1x 工 作 原 理 ( 续 ) 


静默 功能 : 

。 为 避免 用 户 发 送 大 量 能 启动 认证 流程 的 报 文 ， 导 致 设备 不 停 地 
向 RADIUS 服 务 器 发 起 认证 请 求 ， 浪 费 设备 和 RADIUS 服 务 器 的 
处 理 资源 ， 交 换 机 需要 提供 静默 功能 。 

。 启用 静默 功能 后 ， 在 用 户 认证 失败 后 的 一 段 时 间 (静默 周期 ， 
可 配置 ) 内 ， 认 证 模块 将 不 处 理 用 户 的 认证 报 文 。 
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802.1x 的 静默 功能 在 S9300 上 默认 关闭 ,f 需 通过 命令 开户 。 

为 了 避免 静默 功能 使 能 后 ， 用 户 认 证 失败 人 次 就 被 静默 ， 在 S9300 上 可 
以 配置 静默 前 允许 认证 失败 的 次 数 大 于 4 次 。 

S9300 缺 省 情况 下 ，802.1x 用 户 在 60 秒 内 认证 失败 3 次 被 静默 。 

在 静默 期 间 ，S9300 丢弃 该 用 户 的 802.1x 认 证 请 求 。 静 默 定时 器 的 时 长 
可 以 通过 命令 配置 。 
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例 目 录 


NAC 技 术 简 介 
802.1x 工 作 原 理 
EAP 和 EAPOL 


802.1x 协 议 运 行 过 程 














802.1x 业 务 配 置 














802.1x 基 本 故障 诊断 
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EAP: Extensible Authentication Protocol3 可 扩展 认证 协议 。 
EAPOL: EAP over LANs， 局 域 网 es 上 的 EAP。 
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EAP 数 据 报 


EAP 数 据 报 格式 : 
。 当 EAPOL 数 据 包 Type 域 为 EAP-Packet 时 ，Packet Body 为 EAP 数 据 包 结构 。 
0 7 15 


4 


Code: 指明 EAP 包 的 4 种 类 型 : Request、Response、Success Failure 
Identifier: 辅助 进行 Request 和 Response 消息 的 匹配 
。 Length: EAP 包 的 长 度 ， 包含 Code、Identifier、Length 和 Data 域 ， 单 位 为 字 节 


Data: EAP 包 的 内 容 ， 由 Code 类 型 决定 


一 Success 和 Fail 类 型 的 包 没 有 Data 域 ， 相 应 Length 域 的 值 为 有 
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Code: 代码 字段 ， 长 度 为 一 个 字 节 。 用 到 标识 EAP 的 报 文 类 型。 
Identifier: 标识 字段 ， 长 度 为 一 个 字 节 ， 用 于 匹配 请 求 报 文 和 回应 报 文 


o 


Length: 长 度 字段 ， 长 度 为 两 信 字 fw 用 于 标识 EAP 报 文 的 总 长 度 ， 包 
括 Code，ldentifier，Length 和 Data 字 段 。 总 长 度 最 长 为 2 的 16 次 方 为 


65535bit 


Data: 数据 字段 ， 长 度 可 变 ， 和 根据 代码 字段 的 不 同 可 以 包含 不 同 的 内 容 


o 
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EAP 数 据 报 ( 续 ) 


EAP 请 求 (Request) 和 回应 (Response) 报 文 : 
。 当 EAP 包 为 Request 和 Response 类 型 时 ， 其 Data 域 的 格式 如 下 : 


0 7 N X 


。 Type 为 EAP 的 认证 类 型 

一 值 为 1 时 代表 ldentity， 用 来 查询 对 方 的 身份 ; 

一 值 为 4 时 代表 MD5-Challenge， 类 似 于 PPP CHAP 协 议 ， 包 含 质询 消息 
= Type data 的 内 容 随 Type 值 不 同 而 不 同 
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认证 类 型 和 认证 信息 就 包含 在 类 型 字段 ($ype) 和 类 型 数据 字段 ( 
Type-Data) 中 。 

请 求 报 文 由 验证 者 发 给 被 验证 端 。 

重 传 的 请 求 报 文 必 须 使 用 相同 的 IJdentifier 值 ， 以 区 分 其 它 新 的 请 求 报 文 


被 验证 端 必须 使 用 回应 报 文 答复 请 求 报 文 。 
回应 报 文 只 能 用 于 答复 这 个 收 到 的 请 求 报 文 ， 而 且 不 能 被 重 传 。 
应 报 文 的 Identifier 值 必须 和 所 答复 的 请 求 报 文 的 Identifier 值 相同 。 








加 
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EAP 数 据 报 ( 续 ) 


EAP 成 功 (Success) 和 无 效 (Fail) 报 文 : 
。 当 EAP 包 为 Success 和 Fail 类 型 时 没有 Data 域 ， 其 Length 域 的 值 为 


a 成功 报 文 由 验证 者 发 给 被 验证 端 ， 用 于 通告 一 个 成 功 的 认证 结果 。 

= 如果 验证 过 程 失 败 ， 验 证 者 将 向 被 验证 端 发 送 一 个 亚 效 报 殿 ， 通 告 一 
个 无 效 的 验证 结果 。 

a 成 功 报 文 和 无 效 报 文 的 Identifier 值 必须 和 回应 报 文 的 Identifier 值 一 致 。 
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EAPOL 数 据 报 


EAPOL 报 文 的 二 层 报 文 头 : 





DMAC SMAC TYPE 








01-80-C2-00-00-03 
端口 的 物理 MAC 地 址 
PAE Ethernet Type， 指 示 协 议 类 型 
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当 发 送 EAPOL 数 据 帧 的 时 候 ， 目 的 地 址 为 组 MAC 地 址 01-80-C2-00-00- 
03。 

该 组 地 址 是 IEEE802.1D 保 留 的 不 能 被 交换 机 转发 的 组 地 址 之 一 。 

源 MAC 地 址 使 用 发 送 端口 的 物理 MAG 地 址 。 

TYPE 字 段 设 置 为 88-8E， 表 示 该 数据 帧 中 封装 的 是 一 个 EAPOL 数 据 帧 


o 
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EAPOL 数 据 报 ( 续 ) 


EAPOL 数 据 报 格式 : 
。PAE Ethernet Type: 协议 类 型 ， 值 
为 0x888E。 


Protocol Version: 指示 EAPOL 帧 的 


二 
发 送 方 所 支持 的 协议 版 本 号 。 


Type: EAPOL 数 据 包 的 类 型 。 

Length: 表示 数据 长 度 ， 即 “Packet Body" 字 段 的 长 度 ， 单 位 
为 字 节 ，0 表 示 没 有 后 面 的 数据 域 。 

Packet Body: 表示 数据 内 容 ， 根 据 不 同 的 Type 有 不 同 格式 。 
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Version: 版 本 字段 ， 长 度 为 一 个 字 节 , 标识 EAPOL 数 据 帧 发 送 者 所 使 
用 的 EAPOL 协 议 版 本 号 。 目 前 版 本 号 为 “4?。 

Type: 类 型 字段 ， 长 度 为 一 个 字 苑 ， 标 识 所 传输 的 EAPOL 数 据 帧 的 类 
型 。 

Length: 所 封装 的 EAP 数 据 包 的 长 度 。0 标 识 没 有 封装 EAP 数 据 包 。 
Packet Body: EAP 数 据 包 被 封装 在 此 字 内 。 





第 198 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IESN ”Module 3 接 入 技术 





EAPOL 数 据 报 ( 续 ) 


EAPOL 数 据 包 类 型 : 


Type 值 报 文 类 型 
Ox00 EAP 报 文 (EAP-Packet) ， 用 于 承载 认证 信息 


| 


Ox01 EAPOL 开 始 报 文 ( EAPOL-Start) ， 发 起 认证 





0x02 EAPOL 注 销 报 文 (EAPOL-Logoff) ， 退 出 请 求 
Ox03 EAPOL 信 息 报 文 (EAPOL-Key) 


Ox04 EAPOL 告 警报 文 (EAPOL-Encapsulated-ASF-Alert) 
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EAP 报 文 : 该 EAPOL 数 据 帧 包含 一 个 EAP 报 文 。 

EAPOL 开 始 报 文 : 由 请 求 者 发 送 给 验证 者 ?触发 验证 者 启动 认证 协议 。 
EAPOL 注 销 报 文 : 由 请 求 者 发 送 给 验证 者 ， 标 识 一 个 显 式 的 注销 请 求 。 
EAPQOL 信 息 报 文 : 验证 者 和 请 求 者 的 802.1X 可 选 能 力 交 换 信 息 所 使 用 


EAPOL 告 警报 文 : 用 于 传输 告警 标准 论坛 (ASF) 定义 的 告警 信息 ， 例 
如 SNMP Trap 信 息 。 
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例 目 录 


NAC 技 术 简 介 
802.1x 工 作 原理 
EAP 和 EAPOL 
802.1x 协 议 运 行 过 程 
802.1x 业 务 配置 


























802.1x 基 本 故障 诊断 
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802.1x 协 议 运行 过 程 


802.1x 中 继 方式 认证 流程 : 
[cient -| 


EAPoL-Start 


EAP-Request/Identity 
| | ee 


Kesponse/Identity 
EAP-Request/ Access-Challenge (EAP- 


Access-Challenge 


MDS challenge Request/ MD5 challenge) PR 
EAP-Response/ Access-Request (EAP- Access-Request | Access-Request 
MD5 challenge Response/ MD5 > 
EAP-Success alonge) RADIUS _ Accels- 
Accept 
(EAP-Sucéess) 


握手 EAP- 
Request/ldentity 
握手 EAP- 
Response/ldentity 
EAPOL-Logoff 
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802.1x 的 认证 流程 包括 中 继 方 式 和 终结 方式 两 种 。 
。 中 继 方 式 的 认证 中 ， 交 换 机 将 EAP 请 求 回 应 和 MD5 challenge 请 
求 进行 透 传 ， 所 以 我 们 称 这 种 方式 为 中 继 方式 ， 也 称 为 透 传 认证 
方式 。 
EAP 中 继 方 式 认证 过 程 如 下 《设备 指 的 是 网 络 接 入 设备 ) : 
。 1. EAP 客户 端 发 送 EAP:Start 报 文 给 设备 。 
。 2. 设备 发 送 EAR4Request/Identity 报 文 给 客户 端 。 
。 3. 客户 端 回 应 EAP-Responsel/ldentity 报 文 ， 设 备 透 传 报 文 给 
RADIUS 服 务 器 8 
。 4. 设备 收 到 RADIUS 挑战 报 文 后 ， 发 送 EAP 挑 战报 文 EAP- 
ReduestMB5-Challenge 给 客户 端 。 
。 5 人 客户 端 回 应 EAP-Response/MD5-Challenge 报 文 ， 设 备 透 传 
报 文 给 RADIUS 服 务 器 。 
*、6. 设备 认证 成 功 后 ， 通 知客 户 端 认证 成 功 ， 端 口 打 开 。 
。 7) 客 户 端 在 线 过 程 中 ， 设 备 通过 EAP 握 手 报 文 进行 探测 客户 端 是 
否 保持 在 线 。 
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802.1x 协 议 运行 过 程 ( 续 ) 


802.1x 终 结 方式 认证 流程 : 


EAPoL -Start 表 项 申请 


EAP-Request/Identit 申请 成 功 





Responsengentiy 
a 
EAP-Response/ Access-Request (EAP- | Access-Request Access-REauest 
EAP-Success chalonge) RADIUS Access- 
Atcept 
握手 EAP- (EAP-SuGeess) 
Request/ldentity 
握手 EAP- 


Responsendentity 
EAPOL-Logoff 
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EAP 终结 认证 过 程 如 下 (设备 指 的 是 网 络 接 太 设备 ) : 
。 1. EAP 客 户 端 发 送 EAP-Statt 报 文 给 设备 。 
。 2. 设备 发 送 EAP-Request/ldentity 报 文 给 客户 端 。 


。 3. 客户 端 回应 EAP-ResPponseyldentity 报 文 ， 报 文 携带 用 户 名 信 
自 


。 4. 设备 发 送 EAP-Request/MD5-Challenge 报 文 给 客户 端 。 

。 5. 客户 端 回 应 EAP-Response/MD5-Challenge 报 文 ， 设 备 获取 
客户 端的 密码 信息 。 

。 6. 设备 携带 用 户 账 户 信息 ， 到 AAA 系统 进行 认证 。 

。 7. 认证 通过 后 设备 通知 客户 端 认证 成 功 ， 端 口 打 开 。 

。 8. 设备 通过 EAP 探 测 判 断 EAP 客 户 端 是 否 维持 在 线 。 








第 202 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IESN 


Module 3 接 入 技术 





全 目录 


NAC 技 术 简 介 
802.1x 工 作 原 理 
EAP 和 EAPOL 

802.1x 协 议 运 行 过 程 
802.1x 业 务 配 置 
802.1x 基 本 故障 诊断 
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802.1x 业 务 配 置 基 本 组 网 


RADIUS 服 务 器 
192.168.2.30 


打印 机 


4 S9300 


需要 注意 ，NAC 特 性 部 署 时 与 周边 交互 的 模块 比较 多 ,名 模块 
间 协 同 工 作 需要 正确 配置 ， 若 配置 不 当 ， 常 会 导致 这 证 失败 。 
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。 对 GE1/0/0 接 口上 的 接 入 用 和 户 进 行 802.1x 认 证 ， 以 控制 其 访问 
Internet， 接 入 控制 方式 采用 缺 省 方式 ， 即 基于 MAC 的 接 入 控制 
方式 。 

。 使 用 RADIUS 服务 器 完成 ?Ni 正 。 

。 GE1/0/0 接 口 最 大 接 入 用 户 数 为 100。 

。 对 GE1/0/0 接 口 者 的 打印 机 采用 MAC 旁 路 认证 。 

对 于 某 些 特殊 终端 , 狗 如 打印 机 等 ， 无 法 使 用 和 安装 802.1x 终 端 软件 ， 
可 以 通过 基于 MAG 的 劳 路 认证 方式 进行 认证 。 

MAC 的 旁 路 认证 方式 指 当 终 端 进行 802.1x 认 证 失败 后 ， 把 它 的 MAC 地 
址 作为 用 户 名 和 密码 上 送 RADIUS 服 务 器 进行 认证 。 
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802.1x 配 置 准 备 


配置 思路 : 

。 配置 RADIUS 服 务 器 模板 

。 配置 AAA 认 证 模板 

。 配置 域 

。 配置 802.1x 认 证 

需要 准备 如 下 数据 : 
RADIUS 服务 器 IP 地 址 、 认 证 端口 号 
RADIUS 服务 器 密 钥 为 hello， 重 传 次 数 为 2 
AAA 认证 方案 web1 
RADIUS 服务 器 模版 rd1 
域 isp1 
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配置 前 需要 预先 确定 802.1x 业 务 的 配置 思路 和 准备 数据 ， 然 后 才能 进行 
后 续 配 置 。 
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802.1x 业 务 配 置 


配置 步骤 : 
。 配置 RADIUS 服务 器 模板 
ma [Quidway] radius-server template rdl 以 


ma [Quidway-radius-rdl] radius-server authentication 
192.168.2.30 1812 


# 配 置 RADIUS 主 用 认证 服务 器 的 IP 地 址 、 端 口 
[Quidway-radius-rdl] radius-server shared-key tiello 
# 配 置 RADIUS 服 务 器 密 钥 
[Quidway-radius-rdl] radius-server retransmit 2 
# 配 置 重 传 次 数 
[Quidway-radius-rd1l] quit 








Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. Page29 2 HUAWEI 





注意 事项 : 
。 若 仅 使 用 本 地 认证 ， 不 需要 关注 RADIUS 配置 
。 交换 机 是 RADIUS 的 客户 端 ， 以 土 仅 为 客户 端 配 置 。 要 使 配置 真 
正 生 效 ， 还 需要 对 服务 器 端 进行 配置 
。 通信 和 密 钥 需要 与 服务 器 协商 好 ， 否 则 通信 不 能 完 
。 如 果 和 服务 器 中 的 的 域名 不 一 致 ， 可 以 指示 系统 从 用 户 名 中 去 除 
用 户 域名 后 再 净 之 传 给 RADIUS 服务 器 。 命 令 如 下 : 


" [QuidWay-radius-rd1] user-name-format without-domain 
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802.1x 业 务 配置 ( 续 ) 


配置 认证 方案 ， 认 证 方案 web1， 认 证 方法 为 RADIUS 


。 [Quidway] aaa 





。 [Quidway-aaa] authentication-scheme webl 
。 [Quidway-aaa-authen-1] authentication-mode radius 


。 [Quidway-aaa-authen-1] quit 


配置 isp1 域 ， 绑 定 认证 方式 和 RADIUS 服务 器 模板 
。 [Quidway-aaal domain isp 
。 [Quidway-aaa-domain-ispl] authentication-scheme webl 


。 [Quidway-aaa-domain-ispl] radius-server Id 
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域 绑 定 认 证 方案 、 认 证 模板 : 
。 认证 方案 指明 认证 类 型 为 RADIUSS 
。 通过 认证 模板 查询 到 相应 的 RADIUS 。 
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802.1x 业 务 配 置 ( 续 ) 


配置 802.1x 认 证 

。 [Quidway] dotlx 
# 全 局 使 能 802.1x 认 证 

。 [Quidway] interface gigabitethernet1/0/0 

。 [Quidway-GigabitEthernet1/0/0] dot1x 
# 在 接口 下 使 能 802.1x 认 证 

。 [Quidway-GigabitEthernet1/0/0] dotlx max-user 100 
# 配 置 允 许 接 入 的 最 大 用 户 数 

。 [Quidway-GigabitEthernet1/0/0] dotlx mac-bypass 
# 配 置 MAC 旁 路 认证 
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缺 省 情况 下 ， 全 局 未 使 能 802.1x 认 证 功能 
如 果 当 前 接口 下 有 802.1x 在 线 用 户 和 % 此 接 日 下 不 允许 去 使 能 802.1x 认 证 
功能 。 
配置 允许 接 入 的 最 大 用 户 数 : 
。 根据 39300 设 备 类 型 不 同 , 整 机 人 允许 接 入 的 NAC 最 大 用 户 数 也 不 
同 。 规 格 为 : 8192 疲 白板 权 位 数 。 
。 若 接 口 下 配置 dot1x port-method 命 令 指定 认证 方式 为 基于 接口 ( 
port) 对 接 人 入 用 户 进行 认证 ， 则 接口 的 最 大 接 入 用 户 数 变 为 1。 
此 时 不 能 执行 dot1x max-user 命 令 ， 需 要 undo dot1x port- 
method 才 能 再 进行 最 大 用 户 数 的 配置 。 
。 当 接 扫 下 的 在 线 用 户 数 大 于 待 配 置 的 最 大 用 户 数 时 ， 该 配置 会 使 
接口 下 所 有 用 户 下 线 。 系 统 会 给 出 警告 信息 ， 提 醒 您 是 否 继续 : 
“Warning: The total number of online users is greaterthan the 
liniit so all the online users will go offline. Are you sure to 
continue?[Y/N]: ”。 
仆 在 同一 视图 下 重复 执行 dot1x max-user 命 令 ， 新 配置 会 覆盖 旧 配 
置 。 
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802.1x 业 务 配 置 ( 续 ) 


其 它 可 选 配置 : 
。 dotlx authentication-method {chap | eap | pap } 
# 配 置 dot1x 认 证 模式 XX 
。 dotlx dhcp-trigger 
# 使 能 DHCP 报 文 触发 dot1x 认 证 功能 
。 dotlx handshake 
# 开 启 定 时 握手 功能 (默认 使 能 ) 
。 dotlx quiet-period 
# 开 启 dot1x 静 默 功能 
。 dotlx retry 
# 配 置 报 文 交互 时 交换 机 向 客户 端 重 发 报 文 的 最 大 次 数 
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在 实际 业务 配置 过 程 中 ， 需 要 根据 客户 需求 这 选择 具体 可 选 配置 项 。 
此 需要 了 解 这 些 可 选项 的 默认 值 。 
配置 dot1x 认 证 模式 dot1x authentication-method {chap | eap | pap } 
。 PAP (Password Authentication Protocol) 是 一 种 两 次 握手 认证 
协议 ， 它 采用 明文 方式 传送 口令 ; 
。 chap (Challenge Handshake Authentication Protocol) 为 终结 
方式 (默认) ， 是 全 种 三 次 握手 认证 协议 ， 它 只 在 网 络 上 传输 用 
户 名 ， 而 并 不 传输 口令 。 相 比 之 下 ，CHAP 认 证 保密 性 较 好 ， 更 
为 安全 可 靠 。 
。 eap 为 中 继 痪 式 六 交换 机 直接 把 802.1x 用 户 的 认证 信息 以 EAP 报 
文 发 送 给 RADIUS 服务 器 完成 认证 ， 而 无 须 将 EAP 报 文 转换 成 标 
准 的 RADIUS 报 文 后 再 发 给 RADIUS 服务 器 来 完成 认证 。 
使 能 DHCP 报 文 触发 dot1x 认 证 功能 dot1x dhcp-trigger 
。 人 缺 省 情况 下 ，DHCP 不 触发 接 入 用 户 的 身份 认证 。 
。 在 执行 此 命令 后 ， 若 用 户 未 通过 认证 ， 则 无 法 从 DHCP Server 
获得 动态 IP 地 址 。 
开启 det1x 静 默 功能 dot1x quiet-period 
。 缺 省 情况 下 ，802.1x 用 户 在 60 秒 内 认证 失败 3 次 被 静默 。 
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802.1x 业 务 配 置 ( 续 ) 


其 它 可 选 配置 ( 续 ): 
。 dotlx timer 
# 配 置 各 类 定时 器 ， 确 保有 序 交 互 
。 dotlx guest-vlan 
# 配 置 接口 guest vlan 功能 


。 dotlx port-control {auto | authorized-force | 
unauthorized-force } 


# 配 置 端口 控制 模式 
。 dotlx port-method { mac | port } 

# 配 置 端 口 接 入 方式 ， 即 基于 MAC (用 户 ) 还 是 基 玫 端 同 
。 dotlx reauthenticate 

# 配 置 重 认证 ， 将 该 端口 下 通过 认证 的 用 户 定期 进 每 重 认 证 
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dot1x port-control { auto | authorized-force| unauthorized-force } 命令 
用 于 配置 端口 控制 模式 : 
。 默认 auto， 自 动 识别 模式 (aMto) : 接口 初始 状态 为 非 授权 状态 
， 仅 允许 收发 EAPoL 报 文具 不 允许 用 户 访 问 网 络 资源 ; 如 果 认 证 
通过 ， 则 接口 切换 到 授权 状态 ， 人 允许 用 户 访 问 网 络 资源 。 
。 authorized-forceA 强制 授权 模式 (authorized-force) : 接口 始 
终 处 于 授权 状态 ， 充 许 用 户 不 经 认证 授权 即 可 访问 网 络 资源 。 
。 强制 非 授权 模式 >(unauthorized-force) : 接口 始终 处 于 非 授 权 
状态 ， 不 允许 用 户 访问 网 络 资源 。 
dot1x reauthenticate 命 令 可 以 对 用 户 进行 定期 重 认 证 ， 无 需 用 户 介 入 。 
dot1x guest-vlan: 


。: 当 Guest VLAN 功能 开启 后 ，S9300 向 所 有 开启 802.1x 功 能 的 端 
口 广播 主动 认证 报 文 ， 如 果 达 到 最 大 重 认证 次 数 后 ， 仍 有 端口 上 
未 返回 响应 报 文 ， 则 S9300 将 该 端口 加 入 到 Guest VLAN 中 。 之 
后 属于 该 Guest VLAN 中 的 用 户 访问 该 Guest VLAN 中 的 资源 时 
， 不 需要 进行 802.1x 认 证 ， 但 访问 外 部 的 资源 时 仍 需 要 进行 认证 
。 从 而 满足 了 人 允许 未 认证 用 户 访问 某 些 资源 的 需求 。 
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。 配置 的 Guest VLAN 不 能 是 接口 的 缺 省 VLAN。 
。 缺 省 情况 下 ， 接 口 下 未 配置 Guest VLAN。 
dot1x port-method { mac | port }: 
。 缺 省 情况 下 ， 接 口 的 接 入 模式 为 基于 MAC 地 址 。 
。 当 有 802.1x 用 户 在 线 时 ， TN 
式 。 
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例 目 录 


NAC 技 术 简介 
802.1x 工 作 原 理 
EAP 和 EAPOL 


802.1x 协 议 运行 过 程 














802.1x 业 务 配置 
802.1x 基 本 故障 诊断 
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802.1x 故 障 处 理 流程 


进行 正确 配置 问题 是 否 解决 





确认 客户 端 We 向 题 是 否 解 决 


名 密码 正确 





处 理 链 路 故障 





ei 问题 荐 闫 关闭 
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在 此 故障 流程 中 默认 radius 正 常 工作 。 

如 果 radius 不 正常 工作 ， 则 需要 查看 是 否 能 够 ping 通 radius serve， 
radius 是 否 配置 正确 。 如 果 还 是 不 能 解决 问题 ， 需 要 打开 debugging 
radius 进 行 信息 采集 ， 发 给 华为 专业 兴 员 定位 。 
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802.1x 基 本 故障 诊断 


查看 dot1x 是 否 使 能 
。 display dot1x 
a 若 显 示 Global 802.1x is Disabled， 则 需要 在 system 祝 图 下 输入 命 
令 dot1x 以 开启 dot1x 特 性 全 局 开关 。 
。display dot1x interface GigabitEthernet 2/0/2 


a 若 显 示 802.1x protocol is Disabled， 则 需 在 接口 下 使 能 d6t1x 功 能 。 
在 system 视 图 下 输入 命令 : 
— [systeml]interface GigabitEthernet 2/0/2 
— [system-GigabitEthernet2/0/2]dot1x 
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在 进行 802.1x 故 障 诊断 时 ， 可 以 根据 这 样 的 步骤 来 逐步 排查 故障 点 。 
也 可 以 直接 查看 配置 ， 如 果 当 前 配置 无 dotfx， 则 增加 配置 。 
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802.1x 基 本 故障 诊断 ( 续 ) 


确认 用 户 名 密码 是 否 正 确 

。 确认 用 户 名 和 密码 在 RADIUS 服务 器 的 合法 帐号 列表 
。 否则 使 用 正确 的 用 户 名 密码 重新 拨号 
确认 链 路 是 否 正常 

。display interface GigabitEthernet 2/0/2 

。 确认 接口 UP， 且 有 流量 


。 否则 检查 线路 是 否 有 故障 ，VLAN 配 置 是 否 正确 , /以 确保 客户 端 
拨号 后 ， 端 口 有 报 文 收发 。 
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在 进行 802.1x 故 障 诊断 时 ， 可 以 根据 这 样 的 步骤 来 简单 排查 故障 点 。 
当 端口 的 物理 状态 为 down 时 ， 则 数据 链 路 层 存在 故障 。 
。 如 果 是 光 口 ， 测 试 收发 光 功率 ， 确 定 问 题 。 
。 如 果 是 RJ45， 则 使 用 测 线 器 测试 ， 确 定 问题 。 
。 如 果 线 路 没有 问题 ， 再 查看 两 端的 端口 工作 模式 是 否 一 致 ， 并 修 
改 为 一 致 。 建 议 关 闭 自 协商 。 
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问题 


802.1x 和 NAC 的 关系 ? 
EAP 报 文 有 哪 四 种 类 型 ? 


802.1x 的 接 入 认证 有 哪 两 种 方式 ? 
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802.1x 和 NAC 的 关系 ? 
。 802.1x 是 NAC 接 入 认证 方式 中 的 一 种 。NAC 接 入 认证 还 包括 
MAC 地 址 认证 、WEB 认 证 和 直接 认证 。 
EAP 报 文 有 哪 四 种 类 型 ? 
。 包括 请 求 、 回 应 、 成 功 和 失效 四 种 报 文 ， 通 过 Code 字 段 识 别 。 
802.1x 的 接 入 认证 在 交换 机 上 有 哪 两 种 方式 ? 
。 有 中 继 方式 和 终结 方式 两 种 认证 。 


je 
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DHCP 原 理 及 应 用 
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散 害 
随 着 网 络 规模 的 扩大 和 网 络 复杂 度 的 提高 ， 网 络 配置 越 来 越 
复杂 ， 计 算 机 位 置 变化 (如 便携 机 或 无 线 网 络 ) 和 计算 机 数 
量 超 过 可 分 配 的 IP 地 址 ， 造 成 IP 地 址 变化 频繁 以 及 IP 地 址 不 。%W 
足 的 情况 。 
DHCP 是 Dynamic Host Configuration Protocol 的 简称 ， 丸 称 
为 动态 主机 配置 协议 ， 是 一 种 对 用 户 进行 集中 的 动态 管理 利 
配置 的 技术 。 
DHCP 技 术 保证 了 IP 地 址 的 合理 分 配 问题 ， 从 而 避免 条 1IP 地 
址 的 浪费 ， 提 高 了 整 网 的 IP 地 址 使 用 率 。 
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在 常见 的 小 型 网 络 中 (例如 家 庭 网 络 和 学 生 宿 舍 网 ) ， 网 络 管理 员 都 是 
采用 手工 分 配 IP 地 址 的 方法 。 而 到 了 中 、 穴 型 网 络 ， 如 企业 网 ， 采 用 手 
工 配置 IP 地 址 ， 需 要 详细 的 规划 ,工作 量 大 ， 且 不 好 管理 ， 用 户 擅 自修 
改 地 址 ， 造 成 各 种 故障 ， 带 来 安全 隐患 ， 尤 其 用 户 把 地 址 修改 为 关键 的 
服务 器 或 者 网 关 地 址 ， 将 会 导致 恶 重 的 后 果 。 用 户 不 了 解 网 络 情况 ， 没 
有 专业 的 知识 ， 配 置 IP 有 一 定 难度 。 

使 用 DHCP 和 避免 用 户 手 工 配 置 I|P 地 址 造成 的 地 址 冲突 。 降 低 对 用 户 的 要 
DHCP 服 务 优点 :,。 网 络 管理 员 可 以 验证 IP 地 址 和 其 它 配 置 参 数 ， 而 不 用 
去 检查 每 个 主机 ; DHCP 不 会 同时 租借 相同 的 IP 地 址 给 两 全 主机 ; 
DHCP 管 理 员 可 以 约束 特定 的 计算 机 使 用 特定 的 IP 地 址 ; 可 以 为 每 个 
DHCP 作 用 域 设置 很 多 选项 ;客户 机 在 不 同 子 网 间 移 动 时 不 需要 重新 设 
置 IP 地 直人 

DHCP 服 务 缺点 : DHCP 不 能 发 现 网 络 上 非 DHCP 客 户 机 已 经 在 使 用 的 
IP 地 址 ; 当 网 络 上 存在 多 个 DHCP 服 务 器 时 ， 一 个 DHCP 服 务 器 不 能 查 
出 已 被 其 它 服 务 器 租 出 去 的 IP 地 址 ; DHCP 服务 器 不 能 跨 路 由 器 与 客户 
机 通信 ， 除 非 路 由 器 允许 BOOTP 转 发 。 
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培训 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
掌握 DHCP 的 基本 原理 
掌握 DHCP Server 
掌握 DHCP Relay 
掌握 DHCP Snooping 


掌握 DHCP 业 务 配置 
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全 目录 


DHCP 的 基本 原理 
DHCP Snooping 
DHCP 在 S9300 上 的 配置 
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全 有 目录 


DHCP 的 基本 原理 
1.1 DHCP 的 产生 背景 
1.2 DHCP 的 协议 报 文 
1.3 DHCP 工作 流程 





Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. 2 HUAWEI 





第 222 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IESN 


Module 3 接 入 技术 





DHCP 的 产生 背景 





四 RARP( Reverse 
Address Resolution 


四 BOOTP(BOOTstrap 


Protocol) 
四 无 盘 系统 引导 获取 IP 
图 返回 子 网 掩 码 、DNS 





国 DHCP ( Dynamic 
Host Configuration 
Protocol) 


四 继承 了 BOOTP 所 有 优 
点 


加 传送 主机 所 需 配 置信 息 


Proctocol) 协 议 


下 无 盘 系统 引导 时 获 
取 IP 











Copyright@ 2012 Huawei Technologies Co., Ltd. All rights reserved. 


by huawel 


DHCP 的 由 来 : RARP>BOOTP >》DHCP 
RARP(Reversed Address Resolution Protocol) 协 议 : 


。 RARP 是 许多 无 盘 系 统 在 引导 时 获取 IP 地 址 的 。 RARP 请 求 在 网 
络 上 广播 ， 在 报 文中 标 误 发 送 端 的 硬件 地 址 ， 以 请 求 相 应 的 IP 地 
址 ， 应 答 通常 是 单 播 方式 的 。RARP 的 分 组 格式 基本 上 与 ARP 相 
同 。 
BOOTP (BOOTstrap Protocelh 协议 : 
。 BOOTP 使 用 DP 报 文 封装 ,也 是 无 盘 系 统 用 来 获取 IP 地 址 的 方法 
。 它 还 能 返回 其 他 信息 ， 如 路 由 器 的 IP 地 址 ， 客 户 的 子 网 掩 码 和 
DNS 服 务 器 地 址 等 。 与 RARP 相 比 ， 它 除了 能 够 获得 更 多 的 信息 
， 还 可 以 穿越 路 由 器 。 
DHCP (Dynamiic.Host Configuration Protocol) 协议 : 
。4DHCP 是 从 BOOTP 的 基础 上 发 展 过 来 的 ， 他 继承 了 BOOTP 的 许 
多 优点 ， 最 主要 的 改进 是 对 用 户 IP 地 址 的 动态 分 配 。 它 的 适用 范 
围 不 光 是 无 盘 系 统 ， 更 多 的 用 在 不 同 的 网 络 间 移 动 的 系统 上 。 
。`DHCP 从 两 个 方式 上 扩充 了 BOOTP， 第 一 ，DHCP 可 使 计算 机 
用 一 个 消息 获取 它 所 需要 的 所 有 配置 信息 ， 即 传送 配置 信息 的 协 
议 ; 第 二 ，DHCP 人 允许 计算 机 快速 、 动 态 的 获取 IP 地 址 ， 
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。 即 动态 分 配 IP 地 址 的 机 制 。 


。 DHCP 建 立 在 client-server 模 型 上 。 其 中 指定 的 DHCP server 分 
配 网 络 地 址 并 向 动态 配置 的 主机 传送 配置 参数 。 只 有 当 系 统管 理 
员 明 确 的 配置 主机 作为 DHCP 服 务 器 时 ， 主 机 才能 作为 服务 器 来 


工作 。 
\4 
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DHCP 的 产生 背景 ( 续 ) 


DHCP 给 主机 指定 DHCP 给 主机 指定 一 个 | | 手工 分 配方 式 中 主 ， 

一 个 永久 的 iP 地址 。| | 有 时 间 限制 的 |P 地 址 ，| | 机 的 IP 地 址 是 由 网 生 
到 时 间或 主机 明确 表 | | 络 管理 员 指定 的 NSS 
示 放 弃 这 个 地 址 时 ， DHCP 只 是 把 指定 
这 个 地 址 可 以 被 其 他 的 IP 地 址 告诉 主机 。 
的 主机 使 用 。 AN/ 
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DHCP 服 务 器 支持 三 种 类 型 的 地 址 分 配 ; 
。 自动 分 配 : 在 自动 分 配 中 ,未 需 要 进行 任何 的 IP 地 址 手工 分 配 。 
当 DHCP 客 户 机 第 一 次 向 DHCP 服 务 器 租用 到 IP 地 址 后 ， 这 个 地 
址 就 永久 地 分 配给 了 该 BHCR 客 户 机 ， 而 不 会 再 分 配给 其 他 客户 
机 。 
。 动态 分 配 : 当 DHCR 客 关机 向 DHCP 服 务 器 租用 IP 地 址 时 ， 
DHCP 服 务 器 只 最 GE 作客 户 机 一 个 IP 地 址 。 只 要 租约 到 其 
， 这 个 地 址 就 会 偿 给 DHCP 服 务 器 ， 以 供 其 他 客户 机 使 用 。 如 果 
DHCP 客 户 机 倪 需 要 一 个 IP 地 址 来 完成 工作 ， 则 可 以 再 要 求 另外 
一 个 IP 地 址 。 
。 手动 分 配 、 在 手动 分 配 中 ， 网 络 管理 员 在 DHCP 服 务 器 上 通过 手 
工 方法 配置 DHCP 客 户 机 的 IP 地 址 。 当 DHCP 客 户 机 要 求 网 络 服 
务 时 。DHCP 服 务 器 把 手工 配置 的 |P 地 址 传递 给 DHCP 客 户 机 。 
在 这 三 种 广 式 中 ， 只 有 动态 分 配 的 方式 可 以 对 已 经 分 配给 主机 但 现在 此 
主 析 已 经 不 用 的 IP 地 址 重新 加 以 利用 。 这 样 ， 在 给 一 全 临时 连 入 网 络 的 
主机 分 配 地 址 或 者 在 一 组 不 需要 永久 的 IP 地 址 的 主机 中 共享 一 组 有 限 的 
IR 地 址 时 ， 动 态 分 配 就 会 显得 特别 有 用 。 当 一 台新 主机 要 永久 的 接 入 一 
个 网 络 时 ， 而 网 络 的 IP 地 址 非常 有 限 ， 为 了 将 来 这 全 主机 被 淘汰 时 能 回 





HC Series HUAWEI TECHNOLOGIES 第 225 页 


HCDP-IESN Module 3 接 入 技术 





收 IP 地 址 ， 这 种 情况 下 动态 分 配 也 是 一 个 很 好 的 选择 。 
IP 地 址 分 配 的 优先 次 序 
。 DHCP 服 务 器 按照 如 下 次 序 为 客户 端 选择 IP 地 址 。 
。 DHCP 服 务 器 的 数据 库 中 与 客户 端 MAC 地 址 静态 绑 定 的 IP 地 址 ; 
。 客户 端 以 前 曾经 使 用 过 的 IP 地 址 ， 即 客户 端 发 送 的 Y 
DHCP_DISCOVER 报 文中 请 求 IP 地 址 选项 (Requested IP Aqddr 
Option) 的 地 址 ; 
在 DHCP 地 址 池 中 ， 顺 序 查找 可 供 分 配 的 IP 地 址 ， 最 先 找到 的 IP 
地 址 ; 
。 如 果 在 DHCP 地 址 池 中 未 找到 可 供 分 配 的 IP 地 址 ， 则 依次 查询 超 
过 租 期 、 发 生 冲 突 的 iP 地址， 如 果 找 到 可 用 的 IP 地 址 ， 则 进行 分 
配 ， 否 则 报告 错误 。 
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DHCP 的 产生 背景 ( 续 ) 


DHCP 与 BOOTP 协 议 比较 : 


Client/Server 模式 BOOTP 运 行 在 静态 环境 中 

ma 客户 端 提 出 配置 申请 主机 需 配 置 BOOTP 参 数 文 件 
四 服务 器 端 响应 配置 请 求 文件 长 时 间 不 变 

采用 UDP 封 装 wm DHCP 人 允许 主机 快速 剖 动 态 
相同 的 报 文 格式 获取 IP 地 址 
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DHCP 协 议 与 BOOTP 协 议 的 比较 : 
。 相同 点 : DHCP 和 BOOTP 都 采用 客户 /服务 器 通信 模式 ， 由 客户 
端 向 服务 器 提出 配置 申请 气 包括 分 配 的 IP 地 址 、 子 网 掩 码 、 缺 省 
网 关 等 参数 ) ， 服 务 器 根据 策略 返回 相应 配置 信息 ， 两 种 报 文 都 
采用 UDP 进行 封装 ， 并 使 用 基本 相同 的 报 文 结构 。DHCP 和 
BOOTP 均 使 用 两 个 知名 端口 : 服务 器 为 67， 客 户 端 为 68。 
。 不 同 点 : BOOTP 运 行 在 相对 静态 (每 台 主 机 都 有 固定 的 网 络 连 
接 ) 的 环境 中 , 管理 员 为 每 台 主 机 配置 专门 的 BOOTP 人 参数 文件 
， 该 文件 会 在 相当 长 的 时 间 内 保持 不 变 。DHCP 人 允许 计算 机 快速 
、 动 态 地 获取 IP 地 址 ， 而 不 是 静态 为 每 台 主 机 指定 地 址 。 
DHCP 从 两 方面 对 BOOTP 进 行 了 扩展 : 
。 DHCP 本 使 计算 机 仅 用 一 个 消息 就 获取 它 所 需要 的 所 有 配置 信息 
。 DHCP 人 允许 计算 机 快速 、 动 态 地 获取 IP 地 址 ， 而 不 是 静态 为 每 台 
主机 指定 地 址 。 
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DHCP 的 协议 报 文 


DHCP 报 文 类 型 ( 共 8 个 类 型 ) : 


[Bove 由 客户 端 广 播 来 查找 可 用 的 服务 器 。 XX 


器 用 来 响应 客户 端的 DHCP DISCOVER 报 文 ， 并 指定 相应 的 配 
数 。 





客户 端 发 送 给 服务 器 来 请 求 配置 参数 或 者 请 求 配置 确认 或 者 续 借 租 
期 。 
Pi 由 服务 器 到 客户 端 ， 含有 配置 参数 包括 IP 地 址 。 
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任何 动态 的 协议 都 有 自己 一 套 规定 的 语言 即 协 议 ，DHCP 也 不 例外 。 
DHCP 报 文 共 有 8 个 类 型 ， 具 体 如 下 : 
。 DHCP DISCOVER: 这 是 上 HCP 客户 端 首次 登录 网 络 时 进行 
DHCP 过 程 的 第 一 个 报 交 ， 用 求 寻 找 DHCP 服 务 器 。 
。 DHCP OFFER : 服务 器 用 来 响应 客户 端的 DHCPDISCOVER 报 
文 ， 并 指定 相应 的 配置 参数 。 
。 DHCP REQUEST: 由 客户 端 发 送 给 服务 器 来 请 求 配置 参数 或 者 
请 求 配置 确认 或 者 续 借 租 期 。 此 报 文 用 于 以 下 三 种 用 途 。 
a ”客户 端 初 始 化 后 ， 发 送 广 播 的 DHCPREQUEST 报 文 来 回 
应 服务 器 的 DHCPOFFER 报 文 。 
让 客户 端 重 启 初 始 化 后 ， 发 送 广 播 的 DHCPREQUEST 报 文 
来 确认 先前 被 分 配 的 IP 地 址 等 配置 信息 。 
a 当 客 户 端 已 经 和 某 个 IP 地 址 绑 定 后 ， 发 送 单 播 的 
DHCPREQUEST 报 文 来 延长 IP 地 址 的 租 期 。 
。 DHCP ACK: 服务 器 对 客户 端的 DHCPREQUEST 报 文 的 确认 响 
应 报 文 ， 客 户 端 收 到 此 报 文 后 ， 才 真正 获得 了 IP 地 址 和 相关 的 配 
置信 息 。 
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DHCP 的 协议 报 文 ( 续 ) 


DHCP 报 文 类 型 ( 续 ): 


- 
Re ， 当 客 户 端 发 现 地 址 已 经 被 使 用 时 ， 用 来 通知 服务 器 。 
大 二 客户 端 已 经 有 IP 地 址 时 用 它 来 向 服务 器 请 求 其 他 的 配置 参数 。 





Ey 由 服务 器 发 送 给 客户 端 来 表明 客户 端的 地 址 请 求 不 正确 或 者 租 期 已 过 
期 。 
恨 
客户 端 要 释放 地 址 时 用 来 通知 服务 器 。 
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DHCP 报 文 的 另外 4 个 类 型 : 

。 DHCP DELINE: 当 客 户 端 发 现 服务 器 分 配给 它 的 IP 地 址 发 生 冲 
突 时 会 通过 发 送 此 报 文 来 通知 服务 器 ， 并 且 会 重新 向 服务 器 申请 
地 址 。 

。 DHCP NAK: 服务 器 对 客户 端的 DHCP REQUEST 报 文 的 拒绝 
响应 报 文 ， 比 如 服务 器 yd 客户 端 分 配 的 IP 地 址 已 超过 使 用 租借 期 
限 或 者 客户 端 移 到 了 另 一 个 新 的 网 络 。 

。 DHCP INFORM: 客户 端 已 经 获得 了 IP 地 址 ， 发 送 此 报 文 的 目的 
是 为 了 从 服务 器 获得 其 他 的 一 些 网 络 配置 信息 ， 比 如 网 关 地 址 、 
DNS 服务 器 地 址 等 。 

。 DHCP RELEASE: 客户 端 可 通过 发 送 此 报 文 主动 释放 服务 器 分 
配给 它 的 IP 地 址 ， 当 服务 器 收 到 此 报 文 后 ， 可 将 这 个 IP 地 址 分 配 
给 其 它 的 客户 端 。 
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DHCP 的 协议 报 文 ( 续 ) 


DHCP 报 文 格式 





Htype (1) Hlen (1) Hops (1) 
Xid (4) 





Flags (2) 


Client Hardware Address (16) 





Server Name (64) 
File (128) 
Options (可 变 ) 
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OP: 操 作 码 (1=bootrequest ,2=bootreply) 
Htype: 硬件 地 址 类 型 (1=10mb ethernet) 
Hlen: 硬件 地 址 长 度 (ethernet 为 10) 
Hops: 表 示 当 前 的 DHCP 报 文 经 过 的 DHCP Relay 的 数目 。 该 字段 由 客户 
端 设置 为 0， 每 经 过 一 个 DHCP Relay 时 ， 该 字段 加 1。 此 字段 的 作用 是 
限制 DHCP 报 文 所 经 过 的 DHCR 中 继 数目 。 服 务 器 和 客户 端 之 间 的 
DHCP 中 继 不 能 超过 4 次 8 也 就 是 Hops 值 不 能 大 于 4， 否 则 DHCP 报 文 将 
被 丢弃 。 
Xid: 传输 1D, 在 同 银 务 器 的 交互 中 ,由 客户 机 所 选择 
Secs: 客户 机 所 使 用 的 地 址 ,在 最 近 一 次 地 址 获取 /地 址 更 新 后 所 经 过 的 时 
间 
Flags: 此 宗 段 在 BOOTP 中 保留 未 用 ， 在 DHCP 中 表示 标志 字段 。 只 有 标 
志 字 段 的 最 高 位 才 有 意义 ， 其 余 的 位 均 被 置 为 0。 最 左边 的 字段 被 解释 
为 广播 响应 标志 位 ， 内 容 如 下 所 示 : 

。 0s 客户 端 请 求 服务 器 以 单 播 形式 发 送 响应 报 文 

。 了: 客户 端 请 求 服务 器 以 广播 形式 发 送 响应 报 文 
Client IP address: 客户 机 在 BOUND,RENEW 或 REBINDING 状 态 所 使 
用 ;可 以 用 来 回应 ARP 请 求 报 文 
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Client IP Address : 该 字段 表示 客户 端的 IP 地 址 。 可 以 是 服务 器 分 配给 
客户 端的 IP 地 址 或 者 客户 端 已 有 的 IP 地 址 。 客 户 端 在 初始 化 状态 时 没有 
IP 地 址 ， 此 字段 为 0.0.0.0。IP 地 址 0.0.0.0 仅 在 采用 DHCP 方 式 的 系统 启 
动 时 允许 本 主机 利用 它 进 行 临时 的 通信 ， 并 且 永 远 不 是 有 效 目的 地 址 。 
Your IP address: 服务 器 给 客户 机 分 配 的 IP 地 址 。 
Server IP address: 该 字段 表示 服务 器 IP 地 址 。 人 
Gateway IP address: 该 字段 表示 第 一 个 DHCP 中 继 的 IP 地 址 。 当 客户 庙 
发 出 DHCP 请 求 时 ， 如 果 服 务 器 和 客户 端 不 在 同一 个 网 络 中 ， 那 么 第 一 
个 DHCP 中 继 在 转发 这 个 DHCP 请 求 报 文 时 会 把 自己 的 iP 地址 填 兴 此 字 
段 。 服 务 器 会 根据 此 字段 来 判断 出 网 段 地 址 ， 从 而 选择 为 用 户 分 配 地 址 
的 地 址 池 。 服 务 器 还 会 根据 此 地 址 将 响应 报 文 发 送 给 此 DBHCP 中 继 ， 再 
由 DHCP 中 继 将 此 报 文 转发 给 客户 端 。 若 在 到 达 DHCP 服 务 器 前 经 过 了 
不 止 一 个 DHCP 中 继 ， 那 么 第 一 个 DHCP 中 继 后 的 中 继 不 会 改变 此 字段 
， 只 是 把 Hops 的 数目 加 1。 
Client hardware address: 该 字段 表示 客户 端的 MAC 地 址 ， 此 字段 与 前 
面 的 “Hardware Type” 和 “Hardware Length: 保 持 一 致 。 当 客户 端 发 出 
DHCP 请 求 时 ， 将 自己 的 硬件 地 址 填 入 此 字段 8 对 于 以 太 网 ， 当 
“Hardware Type" 和 “Hardware Length2 分 别 为 “1 和 “6" 时 ， 此 字段 
必须 填 入 6 字 节 的 以 太 网 MAC 地 址 。 
Server name: 该 字段 表示 客户 端 获 取 配 置信 息 的 服务 器 名 字 。 此 字段 由 
DHCP Server 填 写 ， 是 可 选 的 。 如果 填 写 ， 必 须 是 一 个 以 0 结尾 的 字符 
File: 启动 文件 的 名 字 , 在 DHCPOFFER 报 文中 给 出 全 名 。 
Options: 该 字段 表示 DHGCR 的 选项 字段 ， 至 少 为 312 字 节 。DHCP 通 过 此 
字段 包含 了 服务 器 分 配给 终端 的 配置 信息 ， 如 网 关 IP 地 址 ，DNS 服 务 器 
的 IP 地 址 ， 客 户 端 可 以 使 用 IP 地 址 的 有 效 租 期 等 信息 。 
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DHCP 的 协议 报 文 ( 续 ) 


。 DHCP 报 文中 的 option 字 段 ， 采 用 “CLV” 方 式 构成 。 
= Code: 标 识 号 ， 唯 一 标识 后 面 的 信息 内 容 ， 占 1byte 
"Length: 长 度 ， 表 示 后 面 信 息 内 容 的 长 度 ， 占 1byte 
， Value: 信 息 内 容 ， 其 长 度 为 length 所 指定 ， 以 byte 为 单位 
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DHCP 报 文中 的 option 字 段 ， 采 用 “CLV 咏 式 构 成 ， 即 Code: 标 识 号 ， 
唯一 标识 后 面 的 信息 内 容 ， 占 1byte; Length: 长 度 ， 表 示 后 面 信息 内 容 
的 长 度 ， 占 1byte; Value: 信 息 内 容 ， 其 长 度 为 length 所 指定 ， 以 byte 为 
单位 。 这 种 方式 非常 灵活 ， 当 需要 新 的 信息 时 ， 可 以 按照 这 种 编码 方式 
申请 新 的 option 即 可 。 此 方式 具有 可 扩展 性 ， 在 协议 上 有 广泛 的 应 用 。 
常见 的 option 类 型 有 : 
。 报 文 类 型 : C=53, 上 = 人 SAV = 1--8， 表 示 DHCP 报 文 类 型 
。 Router IP: C=3 , LIP 地 址 长 度 , V = client 的 默认 网 关 的 IP 地 址 
。 DNS IP :*Cs6WE=IP 地 址 长 度 的 倍数 ,V = client 的 DNS 服务 器 的 
IP 地 址 序列 
。 WINS IP :`G=44, L=IP 地 址 长 度 的 倍数 , V = client 的 WINS 服 务 器 
的 IP 地 址 序列 
DHCP 提 供 了 在 TCP/IP 网 络 上 传输 配置 参数 的 框架 ， 在 DHCP 客 户 端 和 
服务 器 端 可 以 用 选项 代码 传送 双方 约定 的 配置 参数 和 控制 信息 。 
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DHCP 工 作 流 程 


客户 端 通过 DHCP 申 请 地 址 可 分 为 4 个 步骤 : 


3 Client DHCP 


Q@ DHCP Discover 广播 Server 根 据 自己 的 十 太 
址 所 在 网 段 为 Client 分 Wn 
@ DHCP Offer 广播 地 址 


@ DHCP Request 广播 


@@DHCP Ack 广播 





此 时 用 户 已 获取 IP， 
进入 延续 状态 
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DHCP 工 作 流 程 : 

。 客户 端 发 送 DHCP Discovers 广 播报 文 即 目 的 地 址 为 
255.255.255.255， 在 网 乡 上 寻找 DHCP Server。 

。 网 络 的 的 DHCP 服 务 器 响应 客户 端的 请 求 ， 可 能 有 多 个 DHCP 
Sever 响应 ， 以 广播 的 方式 进行 。 在 网 络 中 接收 到 
DHCPdiscover 发 现 信 息 的 DHCP 服 务 器 都 会 做 出 响应 ， 它 从 尚 
未 出 租 的 IP 地 址 中 挑选 一 个 分 配给 DHCP 客 户 机 ， 向 DHCP 客 户 
机 发 送 一 个 包含 出 租 的 IP 地 址 和 其 他 设置 的 DHCPoffer 信 息 。 

。 客户 端 收 到 了 BRCP Server 的 DHCP Offer 报 文 之 后 ， 则 向 
DHCP Servef 发 送 所 需要 的 IP 地 址 请 求 ， 该 信息 中 包含 向 它 所 选 
定 的 DHGR 服 务 器 请 求 IP 地 址 的 内 容 。 因 为 有 多 个 DHCP 服务 器 
， 所 以 客户 端 是 以 广播 方式 发 送 DHCP Request 报 文 ， 还 因为 要 
通知 所 有 的 DHCP 服 务 器 ， 他 将 选择 某 台 DHCP 服 务 器 所 提供 的 
I 上 R 地 址 % 

人 ~ 服务 器 收 到 请 求 之 后 ， 给 客户 端 发 送 ACK 响 应 报 文 。 

以 后 DHCP 客 户 端 每 次 重新 登录 网 络 时 ， 就 不 需要 再 发 送 
DHCPdiscover 发 现 信息 了 ， 而 是 直接 发 送 包 含 前 一 次 所 分 配 的 
IP 地 址 的 DHCPrequest 请 求 信息 。 
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当 DHCP 服 务 器 收 到 这 一 信息 后 ， 它 会 尝试 让 DHCP 客 户 机 继续 使 用 原 
来 的 IP 地 址 ， 并 回答 一 个 DHCPack 确 认 信 息 。 如 果 此 IP 地 址 已 无 法 再 分 
配给 原来 的 DHCP 客 户 机 使 用 (比如 此 IP 地 址 已 分 配给 其 它 DHCP 客 户 
机 使 用 ) ， 则 DHCP 服 务 器 给 DHCP 客 户 机 回答 一 个 DHCPnack 否 认 信 
息 。 当 原来 的 DHCP 客 户 机 收 到 此 DHCPnack 否 认 信息 后 ， 它 就 必须 重 
新 发 送 DHCPdiscover 发 现 信 息 来 请 求 新 的 IP 地 址 。 以 
相对 于 DHCP CLIENT，DHCP SERVER 的 行为 比较 简单 ,DHCP 
SERVER 的 行为 完全 由 DHCP CLIENT 来 驱动 ， 只 需 根据 收 到 的 DHCP 
CLIENT 的 各 种 请 求 报 文 ， 相 应 的 响应 不 同 的 DHCP 响应 报 文 即 可 ， 
DHCP SERVER 给 DHCP CLIENT 分 配 IP 地 址 原则 : DHCPFIASERVER 收 
到 DHCP 请 求 报 文 后 ， 将 会 首先 查看 “giaddr (gatewayIP address 》 
字段 是 否 为 0 ， 如 果 不 为 0， 则 就 会 根据 此 IP 地 址 所 在 网 段 从 相应 地 址 池 
中 为 CLIENT 分 配 IP 地 址 ， 如 果 为 0， 则 DHCP SERVER 认为 CLIENT 与 
自己 在 同一 子 网 中 ， 将 会 根据 自己 的 IP 地 址 所 在 网 段 从 相应 地 址 池 中 为 
CLIENT 分 配 IP 地 址 。 

DHCP SERVER 还 能 实现 地 址 池 管 理 功能 。 
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DHCP 工 作 流 程 ( 续 ) 


客户 端 续 租 地 址 也 分 为 4 个 步骤 : 


A Client 


DHCP Request 
租 期 50% 时 刻 中 EE 


©@ DHCPACK 

@@ DHCP Request 广播 
租 期 87.5% 时 刻 

@DHCPACK 
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客户 端 获得 的 IP 地 址 都 带 有 一 个 租 期 ， 在 租 期 满 了 之 后 ， 如 果 没 有 续 约 
行为 ， 则 用 户 的 IP 地 址 会 被 服务 器 收回 。 
流程 如 下 : 
。 当 租 期 到 50% 的 时 候 ， 客 户 端 发 送 DHCP Request 报 文 ， 进 行 
续 约 ， 因 为 前 期 已 经 有 DHEP Server 的 信息 ， 故 此 时 是 单 播 。 
。 服务 器 收 到 DHCP Redquest 之 后 ， 给 客户 端 发 送 响 应 信息 ， 此 次 
重 置 租 期 。 
。 如 果 服 务 器 在 租 期 50% 的 时 候 没 有 收 到 客户 的 续 约 报 文 (DHCP 
Request) 知 则 容 户 的 IP 地 址 租约 不 会 重 置 。 到 租约 时 间 的 87.5% 
的 时 候 ， 客 户 端 还 没有 收 到 服务 器 的 响应 (针对 客户 端 50% 发 
出 的 请 求 ， 客 户 端 会 假定 原来 的 DHCP 服 务 器 不 可 用 ， 并 开始 
发 送 广播 的 DHCPREQUEST 报 文 。 网 络 上 的 任何 DHCP 服 务 器 
均 可 以 响应 此 客户 端的 请 求 ， 并 向 此 客户 端 发 送 DHCPACK 报 文 
或 者 DHCPNAK 报 文 。 
a 如 果 客 户 端 收 到 一 个 DHCPACK 报 文 ， 那 么 就 返回 到 绑 定 
状态 ， 且 重新 设置 “ 租 期 更 新 和 重 绑 定 定时 器 ”。 
a 如 果 客 户 端 收 到 的 都 是 DHCPNAK 报 文 ， 那 么 就 返回 到 初 
始 化 状态 。 此 时 客户 端 必须 立即 停止 使 用 此 IP 地 址 ， 
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a 并 且 返 回 到 初始 化 状态 ， 重 新 申请 新 的 IP 地 址 。 

。 若 客户 端 在 “到 达 租 期 定时 器 ”到 期 前 都 没有 收 到 响应 ， 客 户 端 
必须 立即 停止 使 用 此 IP 地 址 ， 并 且 返 回 到 初始 化 状态 ， 重 新 申请 
新 的 IP 地 址 。 

。 DHCP 服务 器 收 到 续 约 请 求 后 ， 发 送 DHCP ACK 响 应 用 户 的 续 
约 ， 此 时 重 置 用 户 的 租 期 。 
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DHCP 工 作 流 程 ( 续 ) 


DHCP Relay 的 流程 : 
CP Relay 的 流程 中 间 可 能 隔 着 复 


A Client DR 以 
ss Sever 


@ DHCP 
Discover 
@ DHCP Offer 


© DHCP Request 


@DHCPACK 或 
NAK- 


DHCP 
Relesse /Ww = 
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DHCP 中 继 的 应 用 环境 : 
。 早期 的 DHCP 协 议 只 适用 于 DHCP 客户 端 和 服务 器 处 于 同一 个 网 
段 内 的 情况 ， 不 能 跨 网 段 扎 早期 的 DHCP 报 文 格式 中 少 很 多 字段 
， 如 giaddr、hop 等 ， 司 期 进行 了 扩充 。 因 此 ， 为 进行 动态 主机 
配置 ， 每 个 网 段 需要 一 个 QHCP 服 务 器 ， 这 显然 是 很 不 经 济 的 。 
。 DHCP 中 继 (DHCPfRelay) 功能 的 引入 解决 了 这 一 难题 : 客户 
端 可 以 通过 DHCP 中 继 与 其 他 网 段 的 DHCP 服 务 器 通信 ， 最 终 取 
得 合法 的 IP 地 址 。 这 样 ， 多 个 网 段 的 DHCP 客 户 端 可 以 使 用 同一 
个 DHCP 服 务 器 $: 既 节省 了 成 本 ， 又 便于 进行 集中 管理 。 
DHCP 报 文 多 采用 广播 方式 ， 是 无 法 穿越 多 个 子 网 的 ， 当 DHCP 报 文 要 
穿越 多 个 子 网 时 就 要 有 DHCP RELAY 的 存在 。 
DHCP RELAY 可 以 是 路 由 器 ， 也 可 以 是 一 台 主 机 ， 总 之 ，DHCP 
RELAY 要 监听 UDP 目的 端口 号 为 67 的 所 有 报 文 。 
当 DHCP RELAY 收 到 一 个 这 样 的 报 文 时 ， 会 首先 判断 是 否 是 用 户 的 请 
求 报 文 ;如 果 是 而 且 “giaddr” (gateway IP address ) 字 段 为 0， 则 把 自 
己 的 I 恨 地 址 填 入 此 字段 ， 并 把 此 报 文 单 播 给 真正 的 DHCP SERVER ， 以 
实现 DHCP 报 文 穿 越 多 个 子 网 的 目的 。 
当 DHCP RELAY 发 现 这 是 DHCP SERVER 的 响应 报 文 时 ， 
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会 根据 “flag" 字 段 中 的 广播 标志 位 来 广播 或 单 播 封装 好 的 报 文 后 ， 传 送 
给 DHCP CLIENT。 


DHCP Relay 场 景 下 的 流程 如 下 : 


客户 端 发 送 DHCP Discover 广 播报 文 在 网 络 上 寻找 DHCP Server 
DHCP Relay 收 到 DHCP Discover 报 文 后 ， 把 自 二 的 PP 地 RS 
giaddr 字段 ， 发 送 给 DHCP Server。 并 把 DHCP Server 字段 填 
充 相 应 的 Server IP 地 址 ， 发 送 单 播报 文 给 DHCP Servers 

DHCP Server 收 到 DHCP Relay 发 来 的 Discover 报 双语 给 BHCP 
Relay 相 应 ， 给 客户 端 响应 DHCP Offer 报 文 ， 其 中 带 有 BHCP 服 
务 器 的 IP 地 址 。 

DHCP Relay 把 收 到 的 Offer 报 文 传送 给 客户 端 s 

客户 此 时 已 经 找到 DHCP Server， 开 始 发 送 DHEP Request 请 求 
IP 地 址 。 

DHCP Relay 收 到 此 请 求 后 ， 把 giaddr 字 段 填 充 自 己 的 IP 地 址 ， 
并 把 DHCP Request 报 文 单 播发 给 BRHeP Server。 
Server 收 到 请 求 后 ， 给 客户 端 分 配 上 地址， 发 送 DHCP ACK 报 
文 ， 如 果 客户 的 请 求 地 址 无 效 则 发 运 NAK 报 文 给 DHCP Relay。 
Server 发 送 给 DHCP Relay 的 报 文 中 ，Your IP address 填 充分 配 
给 客户 的 IP 地 址 。 

DHCP Relay 收 到 服务 器 的 响应 报 文 ， 把 相应 的 报 文 发 送 给 客户 
yo 

如 果 用 户 想 释 旗 IP 地 址 > 则 发 送 DHCP Release 报 文 ， 报 文中 
Client IP Addréss 填 充 已 获得 的 IP 地 址 。 

DHCP Relay 收 到 Release 报 文 后 ， 把 giaddr 字 段 填充 自己 的 IP 地 
址 发 送 给 Server。Server 收 到 请 求 后 ， 释 放 先 前 分 配 的 IP 地 址 。 
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合 有 目录 


DHCP 的 基本 原理 
DHCP Snooping 














DHCP 在 S9300 上 的 配置 
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DHCP Snooping 


DHCP Snooping 原 理 


。 DHCP Snooping 是 一 种 DHCP 安全 特性 ， 通 过 截获 DHCP Client 和 
DHCP Relay 之 间 的 DHCP 报 文 并 进行 分 析 处 理 ， 可 以 过 滤 不 信任 的 
DHCP 报 文 并 建立 和 维护 一 个 DHCP Snooping 绑 定 表 。 

a 绑 定 表 包 括 MAC 地 址 、IP 地 址 、 租 约 时 间 、VLAN ID、 接 口 信息 。 

。 DHCP Snooping 通 过 对 这 个 绑 定 表 的 维护 ， 建 立 一 道 在 DHCPASlient 
和 DHCP Server 之 间 的 防火 墙 。 

。 DHCP Snooping 可 以 解决 设备 应 用 DHCP 时 遇 到 的 DHCP DoS 

(Denial of Service) 攻击 、DHCP Server 仿 冒 攻 击 、IDHCR 仿 冒 续 租 
报 文 攻击 等 问题 。 
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DHCP SNOOPING 记 录 一 个 DHCP 的 绑 定 表 * 绑 定 表 记录 用 户 的 MAC 
\、IP、VLAN、 端 口 等 信息 ， 在 用 户 上 线 的 时 候 ， 创 建 该 用 户 的 绑 定 表 
， 当 用 户 下 线 时 删除 此 绑 定 表 。 

在 绑 定 表 生 成 的 过 程 中 或 生成 后 ， 通 过 对 收 到 的 DHCP 报 文 的 检查 ， 将 
报 文 中 的 对 应 字段 与 DHCP 绑 定 表 进行 比较 ， 发 现 DHCP 攻 击 ， 然 后 丢 
弃 该 报 文 ， 以 阻 目 DHCP 攻击 % 

另外 ，DHCP SNOOPING 区 佐 信 任 端口 和 非 信任 端口 ， 把 通 向 DHCP 
Server (运营 商 网 络 内 部 半 的 接口 设 成 “信任 (Trusted) ”， 其 它 接口 
(连接 运营 商 网 络 外 部 的 接口 ) 都 设 为 “不 信任 (Untrusted) 。 只 有 
DHCP RELAY 设 备 林 添加 giaddr 标 识 为 RALAY 的 IP， 对 非 信任 端口 ， 
不 处 理 DHCP/Reply 报 文 即 带 giaddr 为 非 0 的 DHCP 报 文 ， 以 防止 DHCP 
Server 仿 冒 攻击 。 

同时 ， 依 赖 于 DHCP SNOOPING 表 项 ， 可 以 防止 IP 欺 骗 和 ARP 欺 骗 等 


o 
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DHCP Snooping( 续 ) 


DHCP Snooping 关 键 技术 

。 信任/ 非 信 任 端口 : 一 般 通 向 DHCP 服 务 器 (运营 商 网 络 内 部 ) 的 
端口 设 成 “信任 (Trusted) ， 其 它 端口 (连接 运营 商 网 络 外 部 的 
端口 ) 都 设 为 “不 信任 (Untrusted)”。 

。 绑 定 表 : 建立 MAC + IP + VLAN + Port 的 绑 定 关 系 。 

。 Option82: 是 DHCP 协 议 报 文中 选项 部 分 之 中 的 一 项 汇 用 下 ia 
录 报 文 入 端口 类 型 ， 端 口号 ，VLAN 信 息 以 及 桥 MAC 地 址 ”是 
生成 绑 定 表 的 重要 部 分 。 
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发 往 信任 区 的 DHCP 报 文中 的 giaddr 为 非 03? 小 到 非 信 任 区 的 DCHP 报 文 
的 giaddr 字 段 为 0。 

DHCP Snooping 主要 是 解决 网 络 中 应 用 DHCP 时 设备 遇 到 DHCP DoS 
攻击 、DHCP Server 仿 冒 攻击 护 ARR 中 间 人 攻击 及 IP/MAC Spoofing 攻 
击 的 问题 。 

DHCP Snooping 既 可 以 应 用 往 六 层 网 络 设 备 上 ， 又 可 应 用 在 三 层 网 络 
设备 上 。 
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DHCP Snooping( 续 ) 


DHCP Snooping 绑 定 表 分 为 动态 绑 定 表 和 静态 绑 定 表 。 
。 静态 绑 定 表 : 
按照 实际 需求 在 报 文 入 端口 手工 输入 ， 没 有 租 期 限制 
， 用途 一 些 重要 设备 如 服务 器 ) 和 一 些 高 端 用 户 需 采 用 静态 方式 ， 一 是 
没有 租 期 限制 ， 二 是 安全 性 高 且 便 于 管理 。 
DHCP 客 户 端 在 申请 IP 地 址 过 程 中 ， 根 据 DHCP 报 文 内 容 在 报 文 入 病 口 
自动 生成 ， 存 在 老化 时 间 ， 有 租 期 限制 。 


， 用 途 : 生成 方便 ， 常 用 于 非 重 要 设备 。 不 过 绑 定 表 存 在 老化 时 间 % 且 不 便 
于 管理 。 
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静态 绑 定 : 
。 如 果 分 配给 用 户 的 IP 为 静态 已 地 址 = 那么 可 以 配置 这 些 分 配 的 IP 
地 址 的 静态 绑 定 表 项 ， 防 企 用 户 盗用 静态 上 PP 地 址 。 但 是 如 果 静 态 
IP 用 户 比 较 多 ， 就 需要 气 一 配置 。 否 则 无 法 隔离 盗用 静态 IP 地 址 
的 非法 用 户 。 
。 对 于 静态 分 配给 用 户 的 IP 地 址 ， 设 备 不 会 自动 学 习 用 户 的 MAC 
地 址 ， 也 不 能 建立 绑 定 关系 表 ， 所 以 需要 手动 建立 绑 定 关 系 表 。 
动态 绑 定 : 
。 DHCP Sneocping 绑 定 表 中 的 动态 表 项 不 需 配置 ， 使 能 DHCP 
Snooping 功 能 即 可 自动 生成 。 
。 对 于 动态 分 配给 用 户 的 IP 地 址 ， 设 备 会 自动 学 习 用 户 的 MAC 地 
址 并 建立 绑 定 关 系 表 ， 此 时 不 需要 配置 绑 定 表 。 
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DHCP Snooping( 续 ) 


DHCP 的 Option82 原 理 : 


DHCP Relay Agent 
插入 到 用 户 的 DHCP 
报 文 ， DHCP 服 务 器 
通过 识别 Option82 
来 执行 |P 地 址 分 配 策 
略 或 其 它 策略 。 


名 


DHCP 服 务 器 的 响应 
报 文 也 带 Option82， 
Relay Agent 将 
Option82 和 剥离 后 发 给 
用 户 。 


© 


Agent Information 
Field 中 包括 多 个 子 
选项 ， 每 个 子 选项 
格式 为 SUbOpt/ 。 
Length/Value 三 元 
组 。 


(CN 





(a 
使 能 Option82 功 能 ， 可 以 根据 Option82 信 息 建 立 精确 到 接口 的 绑 定 表 。 
A 2 
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RFC3046 ( DHCP Relay Agent InformatiomOption) ， 提 出 了 
Option82 的 应 用 ， 由 DHCPRelayAgent 插 涂 到 用 户 的 DHCP 报 文 ， 
DHCP 服 务 器 通过 识别 Option82 来 执行 IP 地 址 分 配 策略 或 其 它 策略 。 
DHCP 服 务 器 的 响应 报 文 也 带 有 Option82，Relay Agent 将 Option82 和 剥 
离 后 发 给 用 户 。Agent Information Field 中 包括 多 个 子 选 项 ， 每 个 子 选项 
格式 为 SubOptLength/Value 三 元 组 。 有 目前 定义 了 两 个 子 选 项 : 

用 于 标识 用 户 电路 。 

2 Agent Remote ID Sub-6ption : 用 于 标识 电路 端点 的 远 端 主机 。 
当 在 DHCP Relay-E 应 用 Option82 功 能 时 ， 如 果 用 户 构 造 的 Option82 中 
没有 包含 接口 相关 信息 ， 那 么 生成 的 绑 定 表 中 也 不 包含 接口 信息 。 这 可 


AL EA - 
BE“ 于 玉 X: 


。 Server 的 DHCP Reply 报 文 会 被 同一 VLAN 内 其 他 接口 下 的 用 户 
监听 到 。 
。 用 户 上 线 后 ， 如 果 同 一 VLAN 内 其 他 接口 下 的 用 户 伪造 IP 地 址 和 
MAC 地 址 ， 就 可 以 仿冒 此 合法 用 户 。 
在 二 层 . 上 应 用 DHCP Snooping 时 ， 不 配置 Option82 功 能 也 可 以 获得 绑 
定 表 所 需 的 接口 信息 。 


1 Agent Circuit ID Sub-option- 
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DHCP Snooping( 续 ) 


DHCP Option82 工 作 流 程 : 


Switch 
Client (Relay Agent) DHCP Server 


中 DISCOVER 
@ DISCOVER+Option82 
G) OFFER+Option82 








@ OFFER 
© REQUEST 








REQUEST+Option82 





DACK+Option82 








四 Da Exchange SO.. 
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客户 端 发 送 DHCP Discover 报 文 在 网 络 上 寻找 DHCP 服 务 器 。 
Switch 收 到 用 户 的 DHCP Discover 报 文 后 DHCP Relay Agent 给 用 户 
的 DHCP 报 文 加 上 Option82 信 息 ,A 后 发 送 给 DHCP Server。 

DHCP Server 收 到 Discover 报 文 后 给 客户 相应 ， 此 时 响应 的 DHCP 
Offer 报 文 带 有 先前 的 Option82 信 息 。 

Switch 收 到 DHCP Server 的 响应 信息 后 ，DHCP Relay Agent 去 掉 
Option82 信 息 ， 并 把 此 DHCFIOffer 报 文 传送 给 客户 端 。 

此 时 客户 已 经 发 现 几 DBHCP Server， 开 始 发 送 DHCP Request 报 文 进行 
IP 地 址 请 求 。 

Switch 收 到 客户 的 DHCP Request 报 文 后 ，DHCP Relay Agent 给 报 文 
打上 Option82 人 信息 发 送 给 DHCP Server。 

DHCP Server 收 到 带 有 Option82 信 息 的 DHCP Request 报 文 后 ， 开 始 给 
客户 分 配 IP 地 址 ， 如 果 客户 申请 的 IP 地 址 无 效 或 者 过 期 则 发 送 DHCP 
NAK， 如 时 满足 条 件 则 发 送 DHCP ACK 响应 客户 。 此 时 的 ACK 报 文 带 
有 Option82 信 息 。 

Switch 收 到 DHCP 服务 器 带 有 Option82 信 息 的 ACK 响 应 报 文 后 ，DHCP 
Relay Agent 去 掉 Option82 信 息 ， 把 DHCP ACK 信 息 发 送 给 客户 端 。 
当地 址 申请 结束 后 ， 用 户 就 可 以 进行 数据 交换 了 。 
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DHCP Snooping( 续 ) 


DHCP Snooping 的 应 用 (1) 
。DHCP 仿 冒 者 攻击 原理 


证 


Client Rogue 
Sever 


DHCP Discover (Broadcast) 

DHCP Offer (Unicast) from Rogue Server 
DHCP Request (Broadcast) 

DHCP ACK (Unicast) from Rogue Server 
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由 于 DHCP 请 求 报 文 以 广播 形式 发 送 ， 所 以 BHCP Server 仿 冒 者 可 以 侦 
听 到 ， 并 且 回 应 仿冒 信息 ， 可 以 通过 回应 错误 的 网 关 、DNS 服 务 器 、IP 
等 ， 达 到 DoS( 拒 绝 服务 ) 的 目的 。 
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DHCP Snooping( 续 ) 


DHCP Snooping 的 应 用 (1) 
。 DHCP 仿 冒 者 攻击 解决 方法 


Trusted 
DHCP 
Sever 


Client 2 SWA 
”Untrusted 


Rogue Sever » DHCP Relay from DHCP ROgue Server 
»? DHCP Reply from DHCP Server 
a 一 般 把 通 向 DHCP Server 的 接口 〈 连 接 网 络 内 部 的 网 络 侧 接口 六 设 成 
Trusted 状 态 ， 其 它 接口 〈 连 接 网 络 外 部 的 用 户 侧 接 项 都 设 为 Untrusted 状 
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为 防止 DHCP Server 仿 冒 者 攻击 ， 可 配置 Trusted/Untrusted 接 口 。 

把 某 个 物理 接口 或 者 VLAN 设置 为 Trusted 或 者 Untrusted 状 态 。 凡 是 从 
Untrusted 接 口上 收 到 的 DHCP ReplyOffer、ACK、NAK) 报 文 直接 丢 
弃 ， 这 样 可 以 隔离 DHCP Server 仿 冒 者 攻击 。 
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DHCP Snooping( 续 ) 


DHCP Snooping 的 应 用 (2) 
。 中 间 人 攻击 和 IP/MAC Spoofing 攻 击 原 理 
Middle-man DHCP Server 


10.1.1.1 10.2.1.1 
1-1-1 3-3-3 


DHCP Client 加 
104:1:2 » IP/ARP Packets (IP: 10.2.14 MAC 1-1) 
2222 


pb IP/ARP Packets (IP: 10.1.1.2 MA@ 1-1-1) 


查看 DHCP Client 和 DHCP Server 的 ARP 表 项 ， 可 以 看 到 如 下 信息 : 
DHCP Client 上 的 ARP 表 项 : 10.2.1.1 1-1-1 
DHCP Server 上 的 ARP 表 项 : 10.1.1.2 1-1-1 
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如 图 所 示 ，Middle-Man 通过 发 送 IP 或 ARPR 报 文 ， 让 DHCP Server 学 到 
DHCP Client 的 IP 地 址 10.1.1.2 和 自己 的 MAC 地 址 1-1-1。 在 DHCP 
Server 看 来 ， 所 有 的 报 文 都 是 来 自 或 者 发 往 DHCP Client， 而 实际 上 所 
有 的 报 文 都 经 过 Middle-Man 处 理 。 

Middle-Man 再 发 送 IP 或 ARP 报 交 ， 让 DHCP Client 学 到 DHCP Server 
的 IP 地 址 10.2.1.1 和 自己 的 MAC, 地 址 1-1-1。 在 DHCP Client 看 来 ， 所 
有 的 报 文 也 都 是 来 自 或 者 发 往 DBHCP Server， 而 实际 上 所 有 的 报 文 都 经 
过 Middle-Man 处 理 。 

这 样 Middle-Man 就 可 局 达 到 仿冒 DHCP Server 和 DHCP Client 的 目的 ， 
从 而 获得 DHCP Server 和 DHCP Client 之 间 交 互 的 信息 。 
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DHCP Snooping( 续 ) 


DHCP Snooping 的 应 用 (2) 
。 中 间 人 攻击 和 IP/MAC Spoofing 攻 击 解决 方法 


Middle-man = 二 DHCP Server 
10.1.1.1 二 一 和 二 = 入 10.2.1.1 
Tei CO 3-3-3 
一 一 SWA 


DHCP client -a 
i » IP/ARP Packets (IP: 10.2.10% MAC PE1-1) 
2-2-2 


» IP/ARP Packets (IP: 10.1.1.2 MAG@ 1-1-1) 


为 了 防止 中 间 人 攻击 或 IP/MAC Spoofing 攻击 ， 可 以 在 交换 机 _ 刻 CC 置 BHCP 
Snooping 功能 ， 使 能 DHCP Snooping 绑 定 表 功 能 后 ， 只 有 接收 到 的 报 文 的 信息 
和 绑 定 表 中 的 内 容 一 致 才 会 被 转发 ， 否 则 报 文 将 被 丢弃 。 
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接口 接收 到 ARP 或 者 IP 报 文 ， 使 用 ARP 或 渚 IP 报 文中 的 “ 源 IP+ 源 
MAC 匹配 DHCP Snooping 绑 定 表 。 如 果 配 置 强 策略 ， 则 匹配 不 到 绑 定 
表 就 丢弃 。 

对 于 配置 静态 IP 的 用 户 ， 由 于 没有 通过 DHCP 请 求 而 获得 IP， 所 以 ， 没 
有 对 应 的 DHCP Snooping 绑 定 表 项 ， 该 用 户 发 出 的 ARP、IP 报 文 会 被 
丢弃， 从 而 防止 该 用 户 非 法 使 用 网 络 。 只 能 通过 配置 静态 DHCP 
Snooping 绑 定 表 来 允许 静态 | 已 用 户 访问 网 络 。 

对 于 盗用 其 他 合法 用 户 IP 地 址 的 用 户 ， 同 样 由 于 不 是 自己 通过 DHCP 请 
求 而 获得 IP 的 ，IP 对 应 的 DHCP Snooping 绑 定 表 项 中 的 MAC 以 及 接口 
与 盗用 者 的 不 一 致 盗用 者 发 出 的 ARP、IP 报 文 会 被 丢弃 ， 从 而 防止 该 
盗用 者 非法 使 用 网 络 。 
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DHCP Snooping( 续 ) 


DHCP Snooping 的 应 用 (3) 


。 饿 死 攻击 K 
a 攻击 原理 : 在 钱 死 攻击 方式 中 ， 攻 击 者 不 断 变换 物理 地 址 ， 尝 试 申 
请 地 址 池 中 所 有 的 IP 地 址 ， 直 到 耗 尽 DHCP Server 地 址 池 中 的 地 
址 ， 导 致 其 他 正常 用 户 无 法 获得 地 址 。 
解决 方案 : 通过 MAC 地 址 限制 功能 可 以 防止 饿 死 攻 击 。 通 过 限制 
交换 机 接口 上 人 允许 学 习 到 的 最 多 MAC 地 址 数目 ， 防 止 用户 通 过 变 
换 MAC 地 址 ， 大 量 发 送 DHCP 请 求 ， 同 时 也 限制 了 所 个 接口 上 的 
用 户 数目 。 
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MAC 地 址 限制 功能 一 般 部 署 在 二 层 设备 步 $ 通过 限制 交换 机 接口 上 允许 
学 习 到 的 最 多 MAC 地 址 数目 ， 防 止 用 户 通 过 变换 MAC 地 址 ， 大 量 发 送 
DHCP 请 求 ， 同 时 也 限制 了 一 个 接口 上 的 用 户 数目 。 

QinQ 方 式 下 的 MAC 地 址 限制 : 

。 在 实际 的 应 用 中 ， 用 户 通 过 DSLAM (Digital Subscriber Line 
Access Multiplexer) 户 设备 接 入 网 络 ， 通 过 给 不 同 的 用 户 配 置 不 
同 的 VLAN 来 隔离 用 户 。 同时 为 了 规避 VLAN 总 数 (4094) 的 限 
制 ， 使 用 QinQ/ 特 性 y 给 用 户 报 文 打 两 层 Tag 标 签 ， 这 时 如 果 在 
网 关上 部 署 闻 MAC 地 址 限制 功能 ， 就 需要 能 够 基于 两 层 Tag 对 
MAC 地 址 数目 进行 限制 。 
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DHCP Snooping( 续 ) 


DHCP Snooping 的 应 用 (4) 
。 改变 CHADDR 值 的 饿 死 攻 击 


。 攻击 原理 : 在 这 种 攻击 方式 中 ， 如 果 攻 击 者 改变 的 不 是 数据 帧 头 部 SA 
的 源 MAC， 而 是 改变 DHCP 报 文 中 的 CHADDR (Client Hardwara 
Address) 值 来 不 断 申请 IP 地 址 ， 而 交换 机 仅 根 据 数据 帧 头 部 的 源 
MAC 来 判断 该 报 文 是 否 合法 ， 那 么 MAC 地 址 限制 方案 不 能 起 作用 。 

sa 解决 方案 : 可 以 使 用 DHCP Snooping 检查 DHCP REQUEST 报 文 
中 CHADDR 字段 的 功能 。 如 果 该 字段 跟 数 据 帧 头 部 的 源 MAC 相 匹 
配 ， 便 转发 报 文 ; 否则 ， 丢 奔 报 文 。 
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DHCP Snooping( 续 ) 


DHCP Snooping 的 应 用 (5) 
。 ARP 攻 击 原 理 


， ARP 攻击 方式 : 有 针对 主机 的 ， 也 有 针对 网 关 的 ;有 地 址 欺骗 型 的 ; ,4 
也 有 野蛮 攻击 型 的 ;， 有 来 自 病毒 的 攻击 ， 也 有 来 自 使 用 非法 软 休 的 
人 为 攻击 。 
a ARP 攻 击 根源 : ARP 协 议 本 身 过 于 简单 和 开放 ， 没 有 任何 的 安全 手 
段 。 
= ARP 攻 击 危 害 : ARP 地 址 欺骗 攻击 一 般 针 对 个 别 或 痛 定 范围 内 的 主 
机 进行 ， 危 害 相对 较 小 。 但 针对 网 关 设 备 的 大 流量 ARP DDOS 攻 
击 ， 由 于 其 网 络 位 置 的 特殊 性 ， 将 造成 大 面积 用 启 “ 掉 线 ”。 
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DHCP Snooping( 续 ) 


DHCP Snooping 的 应 用 (5) 


。 ARP 攻 击 解决 方法 
。 在 应 用 DHCP 服 务 器 的 组 网 环境 下 ， 建立 可 信 端 口 (trust Port) ， 4 
通过 监控 可 信 端 口 的 DHCP 报 文 获得 IP/MAC 地 址 绑 定 表 ， 这 是 
DHCP Check IP/ARP 安 全 检查 手段 的 重要 依据 。 实 际 上 也 是 仿 种 
安全 焦点 的 转移 ， 把 ARP 安 全 问题 转换 为 别 的 安全 问题 。 
=。 DHCP Snooping Chek IP/ARP 依据 可 信 端 口上 生成 的 绑 定 表 ， 过 
滤 掉 所 有 不 匹配 的 IP/ARP 报 文 。 大 大 的 提高 了 防 攻击 的 能 
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在 应 用 DHCP 服 务 器 的 组 网 环境 下 ，DHEP Snooping 防 攻击 的 效果 比 
较 好 。 其 原因 主要 是 把 安全 目标 转移 了 ,从 没 有 任何 安全 手段 的 ARP 协 
议 转 引 DHGP 协议 。 由 于 DHC 服务 器 的 应 用 环境 比 主机 应 用 环境 要 好 
得 多 ， 所 以 ， 可 以 建立 可 信 端 向 (trust Port) ， 通 过 监控 可 信 端 口 的 
DCH wa 定 表 ， 这 是 DHCP Check IP/ARP 安 全 检 
查 手段 的 重要 依据 。 这 实际 上 也 是 一 种 安全 焦点 的 转移 ， 把 ARP 安 全 问 


题 转换 为 别 的 安全 问题 。 
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合 有 目录 


DHCP 的 基本 原理 
DHCP Snooping 
DHCP 在 S9300 上 的 配置 
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全 目录 


DHCP 在 S9300 上 的 配置 
3.1 DHCP Relay 组 网 应 用 
3.2 DHCP Server 组 网 应 用 
3.3 DHCP Snooping 组 网 应 用 
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DHCP Relay 组 网 应 用 


DHCP Relay 组 网 场景 如 下 图 : 
S9300 做 DHCP Relay， 把 用 户 的 上 线 请 求 报 文 转 发 给 DHCP Server 人 


中 间 可 能 有 


DHCP Client 1 


和 


DHCP client 2 


DHCP server 





. » 
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使 用 DHCP Relay 的 应 用 环境 : 
。 本 地 网 络 没有 配置 DHCP 服务 器 , “可 以 在 S9300 上 启动 DHCP 

中 继 功能 ， 从 客户 端 来 的 DHCP 请 求 可 通过 DHCP 中 继 传 到 
DHCP 服 务 器 。 此 时 ， 为 了 保证 客户 端正 常 获取 IP 地 址 ， 该 服务 
器 必须 是 基于 全 局 地 址 池 的 DHCP 服务 器 ， 即 服务 器 与 DHCP 中 
继 相连 的 接口 不 允许 再 配置 接口 地 址 池 。 

接口 地 址 池 优 先 于 全 局 地 址 池 分 配 地 址 。 即 若 接 口上 存在 接口 地 址 池 ， 

即使 全 局 地 址 池 已 存在， 客户 端 优先 从 接口 地 址 池 中 获取 地 址 。 
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DHCP Relay 组 网 应 用 ( 续 ) 


S9300 上 的 DHCP Relay 配 置 : 
。 dhcp server group dhcpgrp 
# 配 置 DHCP 服 务 器 组 的 组 名 
dhcp-server 10.1.1.1 24 
# 配 置 DHCP 服 务 器 组 中 的 DHCP 服 务 器 IP 地 址 
interface vlanif 10 
ip address 192.168.1.1 24 
# 配 置 启动 DHCP Relay 功 能 的 接口 编号 及 接口 的 IP 地 址 
dhcp select relay 


dhcp relay server-select dhcpgrp 
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DHCP 服 务 器 组 全 局 最 多 可 以 配置 64 个 。 
每 个 DHCP 服 务 器 组 下 最 多 可 以 配置 8 个 DHCP 服 务 器 。 不 指定 索引 时 ， 
系统 将 自动 分 配 一 个 空闲 的 索引 。 
在 S9300 的 VLANIF 接 口 下 使 能 DHCR 中 继 功 能 ， 该 接口 对 收 到 的 
DHCP 报 文 将 进行 中 继 转发 。 
。 DHCP 服 务 器 和 DHCP 客 户 端 之 间 的 DHCP 报 文中 继 次 数 不 能 超 
过 4 次 ， 否 则 DHGCP 报 文 将 被 丢弃 。 
。 一 个 Super-Vlanh 下 使 能 了 DHCP 中 继 功 能 后 ， 则 该 super-Vlan 下 
不 能 使 能 BHCP*Snooping 功 能 。 
一 个 DHCP 服 务 器 组 可 以 对 应 多 个 VLANIF 接口 。 一 个 VLANIF 接 口 下 只 
能 指定 一 个 DBHCP 服 务 器 组 ， 即 一 个 VLANIF 接 口 下 的 DHCP request 报 
文 最 多 可 以 中 继 转发 到 一 个 DHCP 服务 器 。 
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DHCP Server 组 网 应 用 


DHCP Server 组 网 场景 如 下 图 : 


S9300 做 DHCP Server， 给 用 户 分 配 IP 地 址 


DHCP Client 0 


DHCP client1 


和 
DHCP client 2 


4 





起 有、 办 
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在 分 布 式 网 络 中 ， 业 务 的 部 署 尽 量 靠 近 用 房 s%yS9300 做 为 汇聚 节点 ， 通 
过 本 地 DHCP Server 或 远 端 DHCP Serv 妈 为 用 户 分 配 IP 地 址 ， 使 得 客 
户 端 在 S9300 上 终结 。 
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DHCP Server 组 网 应 用 ( 续 ) 


S9300 上 的 DHCP Server 配 置 : 
。dhcp enable 
# 使 能 DHCP 功 能 
。interface vlanif 10 
ip address 192.168.1.1 24 
dhcp select global 
# 配 置 基于 全 局 地 址 池 的 DHCP 服 务 器 。 
(采用 全 局 地 址 池 的 DHCP 服 务 器 模式 时 ， 还 需要 配置 全 局 地 址 池 。) 
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S9300 作为 DHCP 服务 器 时 ， 可 以 设置 接 辐 对 目的 地 址 是 本 机 的 DHCP 
报 文 的 处 理 模 式 。S9300 可 以 通过 全 局 地 址 池 来 分 配 地 址 ， 也 可 以 通过 
基于 接口 的 接口 地 址 池 来 分 配 地 址 。 

客户 端 和 S9300 要 在 同一 个 子 网 内 ,在 同一 接口 下 只 能 选择 一 种 配置 方 
式 。 
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DHCP Server 组 网 应 用 ( 续 ) 


S9300 上 的 DHCP Server 配 置 ( 续 ): 
。interface vlanif 10 
ip address 192.168.1.1 24 
dhcp select interface 
# 配 置 基 于 接口 地 址 池 的 DHCP 服 务 器 
(接口 地 址 池 优 先 于 全 局 地 址 池 分 配 地 址 。) 
。dhcp server ping packets 5 


# 配 置 防止 IP 地 址 重复 分 配 功能 (可 选 ) 
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配置 基于 全 局 地 址 池 的 DHCP 服务 器 , 从 所 有 接口 上 线 的 用 户 都 可 以 
选择 该 地 址 池 中 的 地 址 。 
。 全 局 地 址 池 配 置 : 

mn ip pool 2 

mn ip pool 1 

ma gateway-list 10,1.1.126 

"= NetworKM0.1.1.0 mask 255.255.255.128 

= dns-list10.1.1.2 
配置 基于 接口 地 址 池 的 DHCP 服务 器 ， 从 这 个 接口 上 线 的 用 户 都 从 该 地 
址 池 中 分 配 地 起。 从 此 接口 上 来 的 用 户 分 配 和 接口 同 端 的 IP 地 址 ， 网 关 
为 该 接口 的 IP。 
接口 地 址 池 优先 于 全 局 地 址 池 分 配 地 址 。 即 若 接口 上 存在 接口 地 址 池 ， 
即使 全 局 地 址 池 已 存在 ， 客 户 端 优先 从 接口 地 址 池 中 获取 地 址 。 
DHCP 服 务 器 通过 发 送 Ping 报 文 探测 地 址 的 使 用 情况 ， 以 防止 重复 分 配 
IP 地 址 导致 地 址 冲突 。 缺 省 情况 下 ，DHCP 服 务 器 发 送 ping 报 文 的 最 大 
数目 为 5， 每 个 ping 报 文 的 最 长 等 待 回应 时 间 为 0 毫秒 。 
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DHCP Snooping 组 网 应 用 


DHCP Snooping 组 网 场景 如 下 图 : 
S9300 启用 DHCP Snooping 功 能 ， 防 范 DHCP Server 仿 冒 者 攻击 


. & 
入 on 
Ce 


DHCP Snooping 


G2» 


DHCP server 


DHCP Client 1 


= 


DHCP client 2 
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支持 二 层 的 交换 功能 ， 也 支持 三 层 的 路 由 特性 ， 在 两 种 应 用 下 都 支持 
DHCP Snooping 功能 

S9300 应 用 在 二 层 网 络 中 或 作为 DHCPxRelay 应 用 时 使 能 DHCP 
Snooping， 可 以 防止 DHCP 攻 击 。 在 配置 上 的 区 别 仅 是 : 作为 DHCP 
Relay 时 支持 ARP 与 DHCP 的 联动 功能 。 在 二 层 网 络 中 应 用 时 不 支持 该 
功能 。 
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DHCP Snooping 组 网 应 用 ( 续 ) 


S9300 上 的 DHCP Snooping 配 置 ( 防 DHCP Server 仿 冒 者 攻击 ) : 
。 dhcp enable 

# 使 能 全 局 DHCP 功 能 

dhcp snooping enable 

# 使 能 接口 DHCP Option82 及 DHCP Snooping 功 能 

interface GigabitEthernet3/0/0 

dhcp option82 insert enable 

dhcp snooping enable 

# 使 能 接口 或 VLAN 的 DHCP Snooping 功 能 

interface GigabitEthernet3/0/0 

dhcp snooping trusted 
# 配 置 接口 信任 状态 
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使 能 DHCP Snooping 功能 的 顺序 如 下 : 
。 全 局 使 能 DHCP 功能 。 
。 全 局 使 能 DHCP Snooping 劲 能 。 
。 在 接口 或 VLAN 下 使 能 DHCP'*Snooping 功能 。 
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问 题 


DHCP 协 议 的 基本 原理 ? 


DHCP 的 基本 流程 和 相应 报 文 ? 


DHCP Snooping 的 作用 是 什么 ? 


Option82 的 作用 ? 
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0 


DHCP 基 本 原理 是 主机 通过 动态 的 报 文 交互 来 获得 相应 的 网 络 配 
置 和 IP 地 址 。 

DHCP 基 本 流程 是 ， 首 先 发 送 DHCP Discover 报 文 寻 找 DHCP 
Server，DHCP Server 发 送 DHCP Offer 报 文 响应 ， 其 次 主机 发 
送 DHCP Request 请 绕 IP 地 址 ，Server 收 到 请 求 后 回应 ACK 响 应 
请 求 。 到 50% 租 期 时 主机 发 送 DHCP Request 进行 续 约 ， 如 果 
续 约 不 成 功 ， 在 8A5% 租 期 时 再 发 送 DHCP Request 进 行 续 约 。 
见 教材 P24 胶片 s 

Option 82 是 给 用 户 打 上 位 置信 息 ， 以 便 对 实施 策略 和 QoS 等 。 
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四 令 庆 


Module 4 
MPLS 


四 令 庆 








HCDP-IESN Module 4 MPLS 


鲁 前 言 
本 课程 分 析 了 传统 IP 在 转发 速率 、Qos 和 流量 工程 方面 的 缺 
陷 ， 介 绍 了 MPLS 转 发 的 基本 特点 。 
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培训 目标 


， 您 应 该 能 : 
描述 IP 转 发 流程 
描述 IP 转 发 的 缺点 
解释 MPLS 转 发 基本 原理 
描述 MPLS 应 用 
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例 有 目录 


MPLS 概 述 
MPLS 基 本 原理 
MPLS 环 路 检测 
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全 目录 


MPLS 概述 
1.1 传统 IP 转 发 


1.2 MPLS 转发 特点 
1.3 MPLS 应 用 
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传统 IP 转 发 


B 
v1 v1 v2 V2 
10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 


08/0'0Z OF 


一 
© 
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己 
二 
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Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. 2 HUAWEI 





传统 的 IP 转 发 中 ， 物 理 层 从 交换 机 的 一 个 端 国 收 到 一 个 报 文 ， 上 送 到 数 
据 链 路 层 。 数 据 链 路 层 去 掉 链 路 层 封 装 ,根据 报 文 的 协议 域 上 送 给 相应 
的 网 络 层 。 网 络 层 首先 看 报 文 是 否 是 送 给 本 机 的 ， 若 是 ， 去 掉 网 络 层 封 
装 ， 上 送 给 它 的 上 层 协 议 。 若 不 是 ,N 则 根据 报 文 的 目的 地 址 查找 路 由 表 
， 若 找到 路 由 ， 将 报 文 送 给 相应 端口 的 数据 链 路 层 ， 数 据 链 路 层 封装 后 
， 发 送 报 文 。 若 找 不 到 路 由 ;= 将 报 文 丢弃 。 传 统 的 IP 转 发 采用 的 是 逐 跳 
转发 ， 数 据 报 文 经 过 每 一 侣 交换机， 都 要 执行 上 述 过 程 (如 图 中 SWA 收 
到 目的 地 址 为 10.2.0.1 的 数据 包 ，SWA 会 依次 查找 路 由 表 ， 根 据 匹 配 的 
路 由 表 项 的 进行 转发 w\SWB、SWC、SWD 都 会 进行 类 似 的 处 理 ) ， 所 
以 速度 缓慢 。 并 且 所 有 的 交换 机 需要 知道 全 网 的 路 由 或 者 默认 路 由 。 另 
外 ， 由 于 传统 le 转发 是 面向 无 连接 的 ， 所 以 无 法 提供 好 的 Qos 保 证 。 
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传统 IP 转 发 (SWA) 


Network 
10.1.0.0/24 
0.1.0.1/32 
10.1.1.0/30 0.1.1.0/30 
10.1.1.2/32 
0.1.1.4/30 
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传统 IP 转 发 (SWB) 


Network 
10.1.0.0/24 
Wi v2 0.1.1.0/30 

10.1.1.0/30 10.1.1.4/30 0.1.1.1/32 
10.1.1.4/30 
0.1.1.6/32 
0.1.1.8/30 
10.2.0.0/24 
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传统 IP 转 发 (SWC) 


Network Nexthop 

10.1.0.0/24 10,.1.1:3 

v2 v3 10.1.1.0/30 10,1.153 
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传统 IP 转 发 (SWD) 
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传统 IP 转 发 在 流量 工程 方面 的 缺陷 
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传统 IP 网 络 基于 IGP Metric 计 算 最 优 路 径 洁 这 是 远 远 不 够 的 ， 往 往 在 现 
实 网 络 中 还 需 考 虑 带宽 、 链 路 属性 等 其 他 因素 ; 基于 IP 的 流量 工程 是 
于 IGP 面 向 目的 地 址 的 转发 ， 是 hep- 0 无 法 实现 根据 来 源 
来 控制 流量 转发 ; 另外 基于 IP 的 流量 工程 是 面向 无 连接 的 ， 不 能 实现 显 
式 路 径 (Explicit Routing) 。 


上 图 中 ，SWB 和 SWD 之 间 存 在 两 条 路 径 。 传 统 的 IP 转 发 中 IGP 根 据 
Metric 选 择 最 优 的 路 由 SWBsSWC-SWD 转 发 所 有 从 Network A 和 
Network B 到 Network C 的 IP 报 文 ， 而 SWB-SWG-SWH-SWD 链 路 则 闲 
置 ， 当 网 络 中 流量 过 太 ,_ 有 可 能 导致 最 优 路 径 拥塞 ,但 次 优 路 径 却 空 载 
没有 被 充分 利用 
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MPLS 标 签 转发 
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[ MPLS Header Data [| IP Neader 
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MPLS 是 一 种 标签 转发 技术 ， 它 采用 无 连接 的 控制 平面 和 面向 连接 的 数 
据 平面 ， 无 连接 的 控制 平面 实现 路 由 信息 的 传递 和 标签 的 分 发 ， 面 向 连 
接 的 数据 平面 实现 报 文 在 建立 的 标签 转发 路 径 上 传送 。MPLS 域 内 ， 交 
换 机 不 需要 查看 每 个 报 文 的 目的 IP 地 址 ， 只 需要 根据 封装 在 IP 头 外 面 的 
标签 进行 转发 即 可 (如 图 中 的 SWB 从 SWA 收 到 带 有 标签 的 报 文 ， 根 据 
标签 进行 转发 ，SWC 类 似 ) se% 所 以 ， 相 对 于 传统 的 IP 转 发 ，MPLS 标 签 
转发 大 大 提高 了 转发 效率 。 
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MPLS VPN 应 用 
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然而 ， 随 着 ASIC 技 术 的 发 展 ， 路 由 查找 速度 已 经 不 是 阻碍 网 络 发 展 的 瓶 
颈 。 这 使 得 MPLS 在 提高 转发 速度 方面 不 再 具备 明显 的 优势 。 
由 于 MPLS 结 合 了 IP 网 络 强 大 的 三 层 路 由 功能 和 传统 二 层 网 络 高 效 的 转 
发 机 制 ， 在 转发 平面 采用 面向 连接 方式 ， 与 现 有 二 层 网 络 转发 方式 非常 
相似 ， 这 使 得 MPLS 能 够 很 容易 地 实现 IP 与 ATM、 帧 中 继 等 二 层 网 络 的 
无 颖 融合 ， 并 为 流量 工程 TE=《Traffic Engineering) 、 虚 拟 专 用 网 VPN 
(Virtual Private Network) Se 服务 质量 QoS (Quality of Service) 等 应 
用 提供 更 好 的 解决 方案 。 
基于 MPLS 的 VPN 可 以 将 私有 网 络 的 不 同 分 支 连 接 起 来 ， 形 成 一 个 统一 
的 网 络 ， 基 于 MPLS 的 VPN 还 支持 对 不 同 VPN 间 的 互通 控制 。 如 图 所 示 
，CE (Customer Edge) 是 用 户 边缘 设备 ; PE (Provider Edge) 是 服 
务 商 边 缘 交 换 机 ， 位 于 骨干 网 络 ; P (Provider) ， 是 服务 提供 商 网 络 
中 的 骨 囊 交换机， 不 与 CE 直接 相连 。VPN 数 据 在 封装 MPLS 的 标签 转发 
路 径 中 传递 。 
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MPLS TE 应 用 
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MPLS TE 结合 了 MPLS 技 术 与 TE 流量 工程 3》 通过 建立 到 达 指 定 路 径 的 
LSP 隧 道 进 行 资源 预 留 ， 使 网 络 流量 绕 开 拥塞 节点 ， 可 以 达到 平衡 网 络 
流量 的 目的 。 如 图 所 示 ，NetworkA 到 Network C 的 70% 的 流量 在 通过 路 
径 SWB-SWC-SWD 传 递 ，30% 的 流量 通过 SWB-SWG-SWH-SWD 传 递 
。Network B 到 Network C 的 流量 类 似 。 
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MPLS Qos 应 用 
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MPLS 和 DifferServ 完 美 配 合 ， 提 供 Qos 功 能 % 


根据 需要 在 CE 上 或 PE 上 对 业务 流 进行 分 类 ， 如 可 以 将 DSCP 值 为 2 的 流 
分 为 一 类 ，DSCP 值 为 3 的 流 分 为 气 类 ， 对 分 类 后 的 流量 可 以 进行 流量 
监管 、 重 新 标记 EXP 等 。 

PE 在 给 报 文 加 Label (标签 ) 时 ， 把 IP 报 文 携带 的 IP 优 先 级 标记 映射 到 
标签 的 EXP 域 ， 这 样 原来 由 IP 携 带 的 服务 类 型 信息 ， 现 在 由 标签 携带 。 
ee 根据 标签 的 EXP 域 ， 进 行 有 差别 的 队列 调 
度 (如 PQ、CQ、CBQ 等 让， 即 把 携带 标签 的 业务 流 在 一 条 标签 转发 路 
RS 
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全 目录 


MPLS 基 本 原理 
MPLS 环 路 检测 
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MPLS 网 络 模型 





LER Label Edge Router 
LSR Label Switch Router 
LSP Label Switch Path 


TP Network 、 
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MPLS 网 络 的 典型 结构 如 胶片 所 示 : 位 于 MRPLS 域 内 的 交换 机 和 ATM 交 
换 机 称 为 标签 交换 交换 机 LSR， 位 于 MPES 域 边缘 用 于 连接 IP 网 络 或 其 
他 非 MPLS 网 络 的 交换 机 或 ATM 交 换 机 称 为 LER。 

在 IP 网 络 内 进行 传统 的 IP 转 发 ,A 在 MRLS 域 内 进行 标签 转发 。 

LER 和 LSR 都 具有 标签 转发 能 力 , 织 是 由 于 两 者 所 处 位 置 不 同 ， 对 于 报 
文 的 处 理 不 同 。LER 负 责 从 IP 网 络 接收 IP 报 文 并 给 报 文 打上 标签 ， 然 后 
送 到 LSR， 反 之 ， 也 负责 从 BSR 接 收 带 标签 的 报 文 并 去 掉 标 签 然后 转发 
到 IP 网 络 ; LSR 只 负责 按照 标签 进行 转发 即 可 。 

报 文 在 MPLS 域 内 进行 转发 时 经 过 的 路 径 称 为 标签 转发 路 径 LSP， 这 条 
路 径 是 在 转发 报 文 之 前 就 已 经 通过 各 种 协议 确定 并 建立 的 ， 报 文 会 在 特 
定 的 LSP 上 传递 8 
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MPLS 结 构 











Routing Protocol ER 交换 路 由 信息 


IP Routing Table 


Label Distribution 标签 交换 
Protocol 
人 


接收 IP 报 文 IP Forwarding Table 发 送 IP 报 文 
接收 带 标签 报 文 Label Forwarding Table 张 镁 带 标 签 报 文 
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4 
























































MPLS 网 络 根 据 标签 转发 报 文 。 那 么 MPES 申 的 标签 是 如 何 产生 的 呢 ? 
MPLS 又 是 采用 什么 样 的 机 制 实现 报 文 转发 的 呢 ? 

MPLS 包 括 两 个 平面 : 控制 平面 和 数据 平面 。 

控制 平面 负责 产生 和 维护 路 由 信息 以 双 标 签 信息 。 数 据 平 面 负责 普通 IP 
报 文 的 转发 以 及 带 MPLS 标 签 报 文 的 转发 。 

控制 平面 中 路 由 协议 模块 Routing Protocol) 用 来 传递 路 由 信息 ， 生 
Re 电表 ; 标签 分 发 协议 模块 (Label Distribution Protocol) 用 来 
完成 标签 信息 的 交换 少 建 立 标签 转发 路 径 。 

数据 平 百 包 括 |P 桂 LN 作 和 转发 表 ， 当 收 到 普通 IP 报 文 时 (Incoming 
IP Packets) ， 如 果 是 普通 IP 转 发 ， 则 查找 IP 路 由 表 转 发 ， 如 果 需 要 标 
签 转发 ， 则 按照 标签 转发 表 转 发 ; 当 收 到 带 有 标签 的 报 文 时 (Incoming 
Labeled Packets) 时， 如果 需 要 按照 标签 转发 ， 根 据 标签 转发 表 转 发 
， 如 果 需 要 转发 到 IP 网 络 ， 则 去 掉 标 签 后 根据 IP 转 发 表 转 发 。 
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帧 模式 MPLS 


Frame XX 
IP Header Payload 


二 层 帧 格式 


Frame 
IP Header Paylpad _ 


MPLS 帧 模式 封装 


Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. Page20 2 HUAWEI 











MPLS 有 两 种 封装 模式 : 帧 模式 和 信 元 模 戒 尖 帧 模式 封装 是 直接 在 报 文 
的 二 层 头 部 和 三 层 头 部 之 间 增 加 一 个 MPES 标 签 头 。 以 太 网 、PPP 采 用 
这 种 封装 模式 。 
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MPLS Header 


rr 


0 19 20 22 23 24 


MPLS 头 部 总 长 度 为 4bytes (32bits) 
标签 Label 长 度 20bits 

EXP (Experimental Use) 长 度 3bits 
S (Bottom of Stack) 长 度 1bit 
TTL 长 度 8bits 
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MPLS Header 长 度 为 32bits， 包 括 长 度 为 20bits 的 标签 ， 该 标签 用 于 报 
文 转发 ; 长 度 为 3bits 的 EXP 通 常用 来 承载 IP 报 文中 的 优先 级 ;长 度 为 

1bit 的 栈 底 标志 S 用 来 表明 是 否 是 最 后 二 个 标签 (MPLS 标 签 可 以 多 层 帜 
套 ) ; 长 度 为 8bits 的 TTL， 作 用 类 似 IP 头 部 的 TTL， 用 来 防止 报 文 环 路 


< 于 o 
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MPLS 标 签 驶 套 


NA 


PID 标识 二 层 头 部 后 面 的 报 文 类 型 

。 Ethernet 0x0800 IPv4 0x8847 MPLS 单 播报 文 0x8848 MPLS 多 播报 文 
。 PPP 0x8021 IPv4 0x8281 MPLS 单 播报 文 0x8283 MPLS 多 播报 文 

S 标识 是 否 是 栈 底 标 签 

标签 典 套 应 用 

。 MPLS VPN 

。 MPLS TE 


Frame 
IP Header Payload 
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二 层 报 文 头 部 中 的 协议 字段 PID 可 以 用 来 标识 该 二 层 头 部 后 面 封装 的 是 
带 标 签 的 报 文 还 是 IP 头 ， 如 Ethernet 协 议 申 PID=0x8847 表 示 Ethernet 头 
部 后 面 封装 的 是 MPLS 单 播报 文 ;% PID=0x8848 表示 Ethernet 头 部 后 面 
封装 的 是 MPLS 多 播报 文 ; PID=0x0800 表示 Ethernet 头 部 后 面 封装 的 
是 IPv4 报 文 ; PPP 协 议 中 ，PID='\Ox8281 表 示 PPP 头 部 后 面 封装 的 是 
MPLS 单 播报 文 ; PID= 0x8283 表 示 PPP 头 部 后 面 封装 的 是 MPLS 多 播 
报 文 。 

MPLS Header 中 的 S 字 段 可 以 用 来 表示 其 后 面 跟随 的 是 另外 一 个 标签 还 
是 三 层 的 IP 头 。 

MPLS 通 常 只 为 报 文 分 配 一 个 标签 。 但 是 在 MPLS 的 高 级 应 用 会 使 用 多 
层 标 签 。 如 :yMRLS VPN 中 会 使 用 两 个 标签 (复杂 情况 下 ， 会 用 到 三 个 
标签 ) ， 外 层 标签 用 于 公 网 转发 ， 内 层 标签 用 来 标识 报 文 属于 哪个 VPN 
; MPLS/ 下 E 也 会 使 用 两 个 或 多 个 标签 ， 最 外 层 标 签 标识 TE 隧道 ， 内 层 
标签 表明 报 文 的 目的 地 。 

注意 六 这 里 的 Label1，Label2，Label3 都 指 的 是 前 一 个 胶片 中 的 4 个 
Bytes 的 MPLS 头 部 ， 其 中 包含 有 20bits 的 标签 信息 。 
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MPLS 转 发 一 Ingress LER 





1.1.1.1/32 
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当 一 个 IP 报 文 进入 MPLS 域 时 ， 入 口 LER“《KSWA) 会 分 析 报 文 ， 根 据 该 
报 文 的 特点 (一般 根据 目的 地 址 前 缀 分 析 半 决 定 应 该 给 该 报 文 封装 哪个 
标签 以 及 应 该 从 哪个 接口 转发 给 哪个 下 二 跳 。 
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PLS ingrees | LER 


Nexthop 
In-Label 
Out-Label 
In-Interface 
Out-Interface 


Label operation 
Mpls-Mt 
Ti meStamp 


。 FEC: Forwarding Equivalence Classes ( 姑 哲 等 座 交 ) 


。NHLFE: Next Hop Label Forwarding Entry% (下 一 跳 标签 
转发 表 项 ) 
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FEC (Forwarding Equivalence Class) /是 在 转发 过 程 中 以 等 价 的 方式 
处 理 的 一 组 数据 分 组 ， 例 如 目的 地 址 前 缀 相同 的 数据 分 组 。 通 常 对 一 个 
FEC 分 配 唯 一 的 标签 。 如 本 例 中 目的 地 址 前 缀 为 10.2.0.0/24 的 报 文 属于 
一 个 FEC ， 该 FEC 分 到 的 标签 为 1030 。 

NHLFE (Next Hop Label Forwarding Entry) : 进行 标签 转发 时 用 到 ， 
NHLFE 包 含 这 样 一 些 基 本 信息 :s1、 报 文 的 下 一 跳 2、 如 何 进行 标签 操 
作 (包括 压 入 新 的 标签 , ,弹出 标签 ， 用 新 的 标签 替换 原 有 的 标签 等 操作 
) 。NHLFE 还 可 能 包含 计 些 其 他 信息 ， 如 发 送 报 文 使 用 的 链 路 层 封装 等 
。 如 本 例 中 下 一 跳 为 10.1s1.2， 标 签 操 作为 压 入 标签 。 
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MPLS 转 发 一 Ingress LER (SWA) 


FTN: FEC to NHLFE (FEC 到 NHLFE) 


1.1.1.1/32 





NHLFE 


NextHop Out Interface Label Operatiomi， ”Others 


10.1.1.2 Vianif1 Push 
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FEC 代 表 了 同一 类 报 文 ，NHLFE 包 含 了 不 二 跳 和 标签 操作 等 信息 。 只 有 
将 FEC 和 NHLFE 关 联 起 来 ， 才 能 实现 对 于 同一 类 报 文 进行 特定 的 标签 转 
发 ，FTN 实 现 这 个 功能 ，FTN ( FECite:NHLFE ) 将 FEC 映 射 到 
NHLFE。 当 LER 将 一 个 不 带 MRLS 标 签 的 IP 报 文 转发 给 MPLS LSR 时 需 
要 使 用 FTN。 如 果 网 络 中 存在 等 值 路 径 ， 那 么 一 个 FEC 可 能 会 映射 到 多 
个 NHLFE。 
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MPLS 转 发 一 LSR (SWB) 


1.1.1.1/32 
SWA 





10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 


MPLS Domain 


08/0 .0 二 DY 
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SWB 从 SWA 收 到 带 有 MPLS 标 签 1030 的 氢 文 49 根据 MPLS 标 签 进行 转发 


o 
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MPLS 转 发 一 LSR (SWB) 


ILM Incoming Label Map 


<SWB>display mpls lsp include 10.2.0.0 2 


Nexthop 
In-Label 
Out-Label 
In-Interface 
Out-Interface 
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本 例 中 SWB 收 到 带 有 标签 1030 的 数据 包 汪 根据 标签 转发 ， 找 到 下 一 跳 
为 10.1.1.6， 并 用 出 标签 替换 入 (SWAP 了 标签， 继续 转发 。 (本 例 情 
况 特殊 ， 出 标签 和 入 标签 相同 ) 。 

ILM 将 每 个 入 标签 映射 到 NHLFE， 当 LSR 转 发 带 有 标签 的 报 文 时 使 用 
ILM。 同 样 ， 如 果 存 在 等 值 路 径 时 一 个 入 标签 会 映射 多 个 NHLFE。 
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MPLS 转 发 一 LSR (SWC) 


1.1.1.1/32 


10.1.1.0/30 


NHLFE 
InLabel 
NextHop Out Interface Label Operation 、 Others 


1030 10.1.1.10 Vlanif3 SWAP 
ff Ww 
电 - 
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与 SWB 类 似 ，SWC 收 到 带 有 标签 1030 的 报 实 后 ， 根 据 标签 进行 转发 ， 
并 用 新 出 标签 替换 原来 标签。 
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MPLS 数 据 转发 一 LSR (SWC) 


display 


Fec 

Nexthop 
In-Label 
ut-Label 
In-Interface 

Out-Interface 
LspIndex 

Token 

LsrType 
Outgoing token 
Label Operation 
Mpls-Mtu 
TimeStamp 
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本 例 中 ，SWC 用 出 标签 1032 替换 (SWAP): 入 标签 ， 然 后 从 出 接口 
Vlanif3 转 发 ， 下 一 跳 为 10.1.1.10。 
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MPLS 转 发 一 Egress LER 〈SWD) 


1.1.1.1/32 


10.1.1.0/30 


InLabel 
NextHop 


1032 10.2.0.2 
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SWC 


10.1.1.4/30 10.1.1.8/30 


MPLS Domain 


NHLFE A 入 


Out Interface Label Operationm | Others 


es POP 


by huawel 





Egress LSR SWD 收 到 带 有 标签 1032 的 报 文 后 ， 去 掉 (POP) 标签 ， 查 


找 IP 路 由 表 转 发 。 
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MPLS 转 发 一 Egress LER 《SWD) 


y mpls lsp inclu 


LSP Information: LDP LSP 


In-Label 
Out-Label 
In-Interface 
Out-Interface 
LspIndex 

Token 

LsrType 
Outgoing token 
Label Operation 
Mpls-Mtu 
TimeStamp 
TimeStamp 
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本 例 中 ，SWD 去 掉 标 签 1032 ， 转 发 报 文 到 下 全 跳 10.2.0.2。 
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MPLS 概 述 
MPLS 基 本 原理 
MPLS 环 路 检测 
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MPLS 环 路 检测 
3.1MPLS TTL 环 路 检测 
3.2 LDP 环 路 检测 
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MPLS 环 路 检测 


IGP 环 路 检测 机 制 
TTL 环 路 检测 
。 帧 模式 的 MPLS 中 使 用 TTL 
。 信 元 模式 的 MPLS 中 无 TTL 
LDP 环 路 检测 机 制 

。 距离 向 量 法 

。 最 大 跳 数 法 
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MPLS 采 用 多 种 机 制 检测 环 路 。 

MPLS 要 依靠 IGP 建 立 LSP，IGP 本 身 都 有 = 些 机 制 可 以 避免 路 由 自 环 。 
单 播 IP 报 文 的 MPLS 转 发 使 用 IGP 祝 生 的 无 环 路 的 路 径 。 

如 果 由 于 路 由 配置 错误 而 产生 飞 环 路 和 在 IP 网 络 中 可 以 使 用 TTL 防 止 报 
文 的 无 限 循环 转发 ， 在 MPLS 网 络 中 ， 也 可 以 使 用 MPLS 标 签 头 部 的 TTL 
域 来 防止 报 文 的 无 限 循 环 转发 但 是 只 有 在 帧 模式 的 MPLS 封 装 中 才 有 
TTL， 在 信 元 模式 的 MRLS 封 装 中 没有 TTL， 所 以 LDP 又 采用 了 一 些 特殊 
的 机 制 检测 环 路 。LDP 环 路 检测 方法 有 路 径 向 量 法 和 最 大 跳 数 法 ， 这 两 
种 方法 可 以 防止 无 限 循环 发 送 Label Request Message， 可 以 通过 配置 


选择 是 否 使 用 这 些 方 法 。 
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MPLS 对 TTL 的 处 理 


一 
|LabelTTL 减 1， 拷 由 
可 IP TTL. 














IP TTL 减 1， 并 拷贝 到 IPTTL 不 变 , Label 
LabelTTL TIL 减 1 


J ee 一 而 


fs 1. 人 "i 2.2.2.2/32 3.3.3.3/32 b 4.4.4.4/32 
SWA SWB SWC 'SWD 


10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 


MPLS Domain 


Ll IPTTL | Label TTL 
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MPLS 对 于 TTL 的 处 理 有 两 种 方式 。 一 种 是 IP 报 文 在 进入 MPLS 网 络 的 时 
候 MPLS 头 部 的 TTL 拷 贝 IP TTL 值 ; 。 另 外 二 种 是 在 入 口 LER 将 MPLS 头 部 
的 TTL 统 一 设置 为 255。 

上 图 描述 的 是 第 一 种 情况 。SWA 从 IPR 网 络 收 到 IP 报 文 ，IP TTL=11， 
SWA 首 先 将 IP TTL 减 1 然后 拷贝 到 MPLS 的 TTL 域 (IPTTL=10，Label 
TTL=10) ，SWB 收 到 带 有 标签 的 报 文 ， 不 处 理 IP TTL， 只 将 MPLS 的 
TTL 减 1 (IPTTL=10，LabekTFTTL=9) ， 然 后 发 送 给 SWC，SWC 收 到 
带 有 标签 的 报 文 ， 将 MPBS 的 TTL 减 1 (Label TTL=8) ， 由 于 SWC 为 倒 
数 第 二 跳 ， 所 以 弹出 标签 。 同 时 将 MPLS 的 TTL 拷 贝 到 IP TTL 中 (IP 
TTL=8) ，SWD 从 SWC 接 收 IP 报 文 ， 按 照 普 通 IP 转 发 将 IP TTL 减 1 后 发 
送 (TTL=7) 
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MPLS TTL 配 置 与 实例 分 析 


SWA SWB SWC 'SWD 
v1 v1 V2 V2 
10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 


1.1.1.1/32 2.2.2.2/32 3.3.3.3/32 4.4.4.4/32 以 


MPLS Domain 


08/00 OL 


a 
© 
ee: 
bad 
© 
起 
G 
5 





<SWJ>ping -h 11 
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图 中 各 台 交 换 机 之 间 正 确 运行 路 由 协议 yf 相 琉 能够 学 习 到 各 自 的 路 由 信 
息 。SWA，SWB，SWC，SWD 上 运行 启用 MPLS 和 LDP 并 正常 建立 
LDP Session 分 发 标签 建立 LSP。 

在 缺 省 配置 下 ，MPLS TTL 会 拷贝 IPYTL 值 。 

在 SWJ 上 带 TTL 值 ping SWK， 观 察 SWA 上 的 Debug 信 息 。 

在 SWJ 上 tracert SWK， 观 察 输出 的 信息 。 
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HCDP-IESN Module 4 MPLS 


MPLS TTL 配 置 与 实例 分 析 


debug mpls packet 
\>debug ip 





inal A 


7391 SWA IP/8/debug 


eceiving, interfac E rersion = 4, headlen = 
pktlen = 84, pktid of 0 11, protoco 
3- 10.2.0.] 


pro i Receiving IP packet from Serial3 


Deon di the a 的 








A MEW/8/MPLSEW PRCKET : 
0 )，TTL=10 
PktLen=88, Label(s)=1030, EXP=0, TTL3WO 
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命令 <SWD>debug ip packet acl 3000 用 来 调试 目的 地 址 为 10.2.0.1 的 
IP 报 文 。 
命令 <SWA>debug mpls packet 用 来 调试 MPLS 报 文 。 


从 调试 信息 可 以 看 出 ，SWA 从 接口 V3 收 至 
IP TTL 减 1 然后 拷贝 到 MPLS 的 TT 或 (IPTTL=10，Label TTL= 10) 。 
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MPLS TTL 配 置 与 实例 分 析 


/ 





WB>debug mpls packet 
WB>debug ip p t acl 3000 
SWB>terminal monito 


30, 


4 SWB MFW/8/MPLSFW PACKET: X 
V PktLen=88, Label(s)=1030, EXP=0, TTL=10 


TTL=9 








debug mpls pack 

debug ip Pa acl 3000 
terminal monitor 
terminal debugging 


W PACKET: 
Label (s)=1029, EXP=0, /AD 


SWAP Label=3, 
\Sending to V3, Dest=10.2.0.1, Nexthop=10.1.1.10 





a S 
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从 调试 信息 可 以 看 出 ，SWB 从 接口 V1 收 到 带 标签 的 报 文 ，MPLS TTL 减 
1 后 TTL=9。SWC 从 接口 V2 收 到 带 标签 的 报 文 ，MPLS TTL 减 1 后 TTL=8 
并 拷贝 到 IP TTL 域 将 报 文 进行 IP 转 发 。 
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MPLS TTL 配 置 与 实例 分 析 


debug mpls packet 
sbug ip packet acl 3000 
WD>terminal monitor 
<SWD>terminal debugging 
*0.64991297 SWD IP/8/debug case: 
Receiving, interface = rial3, version = 4, headlen = 20 
1 84, pktid offset = 0, ttl 8, protoco 
Sum = 40, 
prompt: iving IP packet from Serial3 
*0.64991297 SWD IP/8/debug ca 
Sending, interface 
pktlen = 84, pktid 
checksum = 38596, 


Nerompt : Sending the pack 

















<SWJ>tracert 10.2.0.1 
traceroute to 10.2.0.1(10.2.0.1) 30 hops max,40 byteg po 
1 msgv2 IL ie 32 md 
62 ms 94 ms 
94 ms 94 ms 
125 ms 


156 ms 











Mb huawel 





SWD 上 从 接口 V3 收 到 普通 IP 报 文 ，TTL=8% 按照 普通 IP 包 转发 原理 ， 
SWD 将 TTL 减 1 后 TTL=7， 然 后 从 接口 1 转发 。 

在 SWJ 上 tracert 10.2.0.1， 可 以 看 到 报 文 经 过 了 每 一 全 交换 机 ， 包 括 
MPLS 域 内 的 所 有 LSR。 
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MPLS 对 TTL 的 处 理 





i 


A 
IP TTL 减 1, 但 不 拷 a 


[Label TTL 减 1, 去 掉 标 
| 签 。 


\ / 


a :a 2.2.2.2/32 3.3.3.3/32 b 4.4.4.4/32 
SWA SWB SWC 'SWD 


Label TTL。 Label 
TTL 强制 设 为 255 





V2 加 
10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 


MPLS Domain 


夯 Label TTL 
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这 里 描述 第 二 种 情况 。SWA 从 IP 网 络 收 到 上 P 报 文 ， IP TTL=11，SWA 将 
IP TTL 减 1， 但 并 不 将 IP TTL 拷 贝 到 MPLS 的 TTL 域 ， 而 是 设置 MPLS 

TTL 为 255 (IP TTL=10，Label TTL=255) ，SWB 收 到 带 有 标签 的 报 文 
， 不 处 理 IP TTL， 只 将 MPLS 的 TTD 减 1 (IP TTL=11，Label TTL=254 
) ， 然 后 发 送 给 SWC，SWC 收 到 带 有 标签 的 报 文 ， 将 MPLS 的 TTL 减 1 
(Label TTL=253) ， 由 于 SWC 为 倒数 第 二 跳 ， 所 以 弹出 标签 ， 将 普通 
IP 报 文 (TTL=10) 发 送 给 SWD， 发 送 到 SWD，SWD 从 SWC 接 收 IP 报 

文 ， 按 照 普通 IP 转 发 将 IRTTL 减 1 后 发 送 (TTL=9) 。 
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MPLS TTL 配 置 与 实例 分 析 





[SW]mpls 
[SW-mpls]undo ttl propagate public 





4 


1.1.1.1/32 4.4.4.4/32 
SWA SWD 
v1 

10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 


a a 
局 oo 
一 D 
oo 口 
己 © 
S 所 
s 8 
v3 


< 
CD 


MPLS Domain 


I/ 


<SWJ>ping -h 11 10.2.0.1 


SWJ 4 SWK 
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在 SWA，SWB，SWC，SWD 上 配置 MPIES 礁 拷贝 IPTTL 值 。 
在 SWJ 上 带 TTL ping SWK， 观 察 SWA 上 的 Debug 信 息 。 

在 SWJ_ 上 tracert SWK， 观 察 输出 的 信息 。 

配置 解释 : 

[SW-mpls]undo ttl propagatespublie 取 消 拷贝 |P TTL 值 。 
<SWJ>ping -h 11 10.2.0. 人 ,发 ping 包 到 10.2.0.1，TTL=11 
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MPLS TTL 配 置 与 实例 分 析 





>debug ip ps 
"terminal m 
erminal debugging 


6516 SWA IP/8/debug case: 
ving, inte 
84, pktid = 1318, 


version = 4, headlen = 20, 
© st 0 - 志 5 1 11, protocol 
7 本 4 10.2.0. 
: Receiving IP packet from Serial3 


886516 


Sending, interf 


IP/8/debug Cc 


三 S .051.0 dy 
: Sending the packet by lsp 











/8B8/MPLSFW PACKET: 
0, TTL=2 


Label (s)=1030, EXP=0 ATTL=255 








pF APage43 


【| 
od 
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可 以 看 出 SWA 从 IP 网 络 收 到 IP TTL=11 的 恨 报 文 ，SWA; 
但 并 不 ; 
TTL=10, Label TTL=255) 。 








by huawel 





秆 IP TTL 减 1， 
入 IP TTL 抄 贝 到 MPLS 的 TTL 域 ， 而 是 设置 MPLS TTL 为 255 (IP 
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MPLS TTL 配 置 与 实例 分 析 


HCDP-IESN Module 4 MPLS 





version = 4, 

S 人 25, offset = 0，ttl = 

‘SL 04 了 De 0% Bs 
prompt: Receiving IP packet from Serial3 


*0.99910344 SWD IP/8/debug case: 
S i ve iall; 





、\ 


headlen 
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可 以 看 出 SWD 从 SWC 收 到 IP TTL=10 的 IP 报 文 《SWB 和 SWC 根 据 标签 
转发 ， 所 以 不 修改 报 文 的 IP TTL 值 ;， SWE 为 倒数 第 二 跳 ， 去 掉 MPLS 标 


签 ， 将 IP 报 文 转发 给 SWD) ，SWD 净 IR TTL 减 1 后 转发 到 IP 网 络 的 





SWK (PTTL=9) 。 
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MPLS TTL 配 置 与 实例 分 析 


1.1.1.1/32 2.2.2.2/32 4.4.4.4/32 


SWA WB ,SWD 
v1 v1 V2 V2 
10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 以 
v3 \ 
v3 


MPLS Domain 


08/0'0'1'0L 
Oe/0.0'z'0L 


SWJ SWK 
<SWJ>tracert 10.2.0.1 





traceroute to 10.2.0.1(10.2.0.1) 30 hops max, 40f DYEes? packet 
1 10.1.0.2 31 ms 31 ms 32 ms 

2 10.1.1.10 156 ms 94 ms 125 ms 

3 10.2.0.1 125 ms 125 ms 125 ms 
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在 SWJ 上 Tracert 10.2.0.1， 可 以 看 到 在 这 种 情况 下 ， 隐 藏 了 MPLS 域 的 
LSR。 
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MPLS TTL 配 置 与 实例 分 析 


The first traceroute packet 
with TTL=1 is dropped by 
SwitchA 





4 


1.1.1.1/32 2.2.2.2/32 3.3.3.3/32 4.4.4.4/32 
SWA SWB SWD 


v1 v1 v2 V2 
10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 
V3 
四 = MPLS Domain 


之 
5 
© 
过 
@ 
So 


or 


08/0.0 0 


SWJ SWK 
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分 析 一 下 禁止 了 拷贝 TTL 的 情况 下 从 SW4traeert SWK 的 情况 。SWJ 发 
出 IP TTL=1 的 ICMP 报 文 ，SWA 收 到 后 减 4 护 零 ， 丢 弃 该 报 文 并 发 送 
ICMP Reply 给 SWJ。 
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MPLS TTL 配 置 与 实例 分 析 


The first traceroute packet with | Discard 
TTL=1 is dropped by SwitchA | 


) 





V 


1.1.1 “Td 2.2.2.2/32 3.3.3.3/32 4.4.4.4/32 
SWA WB 辆 


v1 v1 V2 
10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 


MPLS Domain 


08/00 上 0 
08/0.0 ZOL 


SWK 
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接着 SWJ 重 新 发 出 TTL=2 的 报 文 ，SWA 上 收 到 该 报 文 后 ， 由 于 设置 了 
MPLS 不 拷贝 IP TTL， 所 以 将 IP TTL 减 1 启 保 持 不 变 ，MPLS TTL 设 置 为 
255，SWB 只 将 MPLS TTL 减 1 后 继续 发 送 ，SWC 不 将 MPLS TTL 拷 贝 
回 IP TTL, 而 是 弹出 标签 ， 将 IP 报 奕 送 到 SWD，SWD 将 IP TTL 减 1 后 为 
0， 丢 弃 该 报 文 并 返回 ICMP Reply 给 SWJ。 所 以 这 种 情况 下 ，tracert 只 
能 看 到 LER 而 看 不 到 经 过 的 MPLS 域 的 LSR。 TTL propagation 可 以 用 来 
进行 故障 定位 ， 但 要 注意 如 果 要 undo ttl propagation， 必 须 在 MPLS 域 
的 所 有 交换 机 上 使 用 该 命令 。 以 避免 产生 错误 的 结果 。 
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TTL 和 环 路 检测 


1.1.1.1/3 2.2.2.2/32 4.4.4.4/32 
SWA SWB SWD 


10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 


MPLS Domain 


一 | IPTTL 男 | Label TTL 


ww 
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如 果 在 SWB 和 SWC 之 间 存 在 环 路 ， 带 有 标签 的 报 文 将 会 被 SWB 和 SWC 
循环 反复 转发 ， 每 次 MPLS TTL 都 会 减 人 = 直到 TTL=0， 报 文 被 丢弃 。 
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全 目录 


MPLS 环 路 检测 
3.1MPLS TTL 环 路 检测 
3.2 LDP 环 路 检测 
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LDP 路 径 向 量 法 





Label Request Label Request Label Request ] 
(length 3) ) (length 2) ) (length 1 ) 
(4.4.4.4,3.3.3.3,2.2.2.2) (4.4.4.4,3.3.3.3) (4.4.4.4) 


141.1.4.132 2.2.2:2/32 ”3.3.3.3/32 4.4.4.4/32 
SWA SWB SWC SWD 
V1 v1 V2 V2 
10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 


MPLS Domain 
| Label Request ca 
(length 2) ) 10.2.0.0 
(4.4.4.4,3.3.3,3) 


Discard 
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LDP 路 径 向 量 法 和 最 大 跳 数 法 分 别 通 过 两 类 FEV 实 现 : Path Vector TLV 
和 Hop Count TLV 。 如 果 配 置 使 用 这 两 类 方法 检测 环 路 ， 那 么 在 标签 
请 求 消息 (Label Request Message) 和 标签 映射 消息 (Label 
Mapping Message) 中 都 会 携带 这 两 种 TLV。 

首先 介绍 距离 向 量 法 。 每 个 LSR 在 发 送 标签 请 求 消息 (标签 映射 消息 ) 
中 ， 包 含 一 个 Path Vector /了 EV， 并 且 入 口 (出 口 ) LSR 产 生 的 路 径 长 
度 值 为 1， 并 且 把 自己 的 LSRJB 加 到 TLV 的 列表 中 ， 标 签 请 求 消息 ( 标 
签 映射 消息 ) 每 经 过 一 跳 长 度 值 加 1; 接收 端 LSR 如 果 收 到 的 标签 请 求 
消息 (标签 映射 消息 )%, 发现 长 度 值 达 到 预先 设 定 的 最 大 值 或 者 发 现 
LSR 1D 列表 中 有 自己 的 LSR ID ， 认 为 发 现 环 路 ， 发 出 通知 消息 ， 拒 绝 
LSP 的 建立 。 
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LDP 最 大 跳 数 法 


Label Request 
(Count=4) 


Label Request Label Request Label Request 
(Count=3) (Count=2) (Count=1) 





1.1.1.1/32 2.2.2:2/32 3.3.3.3/32 4.4.4.4/32 


v1 v1 V2 
10.1.1.0/30 10.1.1.4/30 


MPLS Domain 


Label Request 
(Count=3) 


| Label Request < 
(Count=5) Discard 
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使 用 最 大 跳 数 法 时 ， 每 个 LSR 在 发 送 标签 请 求 消息 (标签 映射 消息 ) 中 
， 包 含 一 个 hop count TLV， 并 且 入 口 (出口) LSR 产 生 的 初始 跳 数值 
为 1， 标 签 请 求 消息 (标签 映射 消息 ) 海 经 过 一 跳 跳 数值 加 1; 接收 端 
LSR 如 果 在 收 到 的 标签 请 求 消息 中 “标签 映射 消息 ) ， 发 现 跳 数 值 达到 
预先 设 定 的 最 大 值 ， 认 为 发 现 环 路 ， 发 出 通知 消息 ， 拒 绝 LSP 的 建立 。 
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LDP 环 路 检测 基本 配置 





[SWC-mpls-ldp]display mpls ldp 
LDP Global Information 


Protocol Version Neighbor Liveness 
Graceful Restart FT Reconnect Timer 
MTU Signaling § Recovery Timer 


LDP Instance Information 


Instance ID :| VPN-Instance 
Instance Status : Active LSR ID 

Hop Count Limit 过 这 多 Path Vector Limit 
Loop Detection : Off 

DU Re-advertise Timer : 10 Sec DU Re-advertise Fl 
DU Explicit Request 2 从 于 Request Retry Fla 
Label Distribution Mode : Ordered Label Retention 











缺 省 配置 为 不 进行 LDP 环 路 检测 。 Le 


入 
令 


ES 
人 
‘> 
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LDP 环 路 检测 基本 配置 





Warning: Loop ection cannot be configured after enabling LDP 


on an ir 








mpls 


INTEGER< 











[SWC-mpls-ldp]path 





芭 
YINTEGER<1-32> Value of the Path-Vector limit 
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如 果 对 MPLS 域 进行 环 路 检测 ， 则 必须 在 所 有 节点 上 都 配置 环 路 检测 ， 
并 且 需 要 在 所 有 接口 使 能 LDP 之 前 进行 配置 。 但 在 建立 LDP 会 话 时 ， 并 
不 要 求 双方 的 环 路 检测 配置 一 致 。 
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问题 


MPLS 转 发 是 根据 什么 完成 数据 转发 的 ? 
MPLS 常 见 应 用 有 哪些 ? 
MPLS 封 装 有 哪些 方式 ， 各 自 应 用 范围 是 什么 ? 


MPLS 有 哪些 环 路 检测 方法 ? 
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答案 : 
MPLS 转 发 是 根据 什么 进行 数据 转发 的 ? 
。 MPLS 是 根据 标签 进行 数据 转发 的 。 
MPLS 常 见 应 用 有 哪些 ? 
。 MPLS VPN，MPLS QoS，MPLS TE。 
MPLS 封 装 有 哪些 方式 ， 各 自 应 用 范围 是 什么 ? 
。 帧 模式 和 信 元 模式 。Ethernet 和 PPP 使 用 帧 模式 封装 ，ATM 使 用 
信 元 模式 封装 s 





LDP 邻 居 发 现 机 制 有 哪 两 种 ， 分 别 有 什 么 区 别 ? 
。 基本 发 现 机 制 和 扩展 发 现 机 制 ， 基 本 发 现 机 制 用 来 发 现 同一 链 路 
竺 的 邻居 ， 扩 展 发 现 机 制 用 来 发 现 非 同一 链 路 上 的 邻居 。 
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LDP 协 议 原 理 
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前 
本 课程 介绍 了 LDP 标 签 空间 、 标 签 分 发 协议 、LDP 邻 居 协 议 
工作 原理 以 及 在 VPN、QoS 和 流量 工程 方面 的 应 用 。 


4 
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培训 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
描述 LDP 邻 居 发 现 机 制 
描述 LDP 会 话 建立 过 程 


掌握 LDP 标 签 管理 
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全 目录 


LDP 邻 居 发 现 和 会 话 建立 
LDP 标 签 管理 
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HCDP-IESN 


全 目录 


LDP 邻 居 发 现 和 会 话 建立 
1.1LDP 基 本 概念 


1.2 LDP 邻 





居 发 现 机 制 


1.3 LDP 会 话 建立 过 程 
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LDP 基本 概念 


LDP Peer ) LDP Peer LDPPeer ) 


7 mA RN 


SWA LDPSession swe LDPSession swc .LOPSession swp 


1024/10.1.0.0 请 
< 1024/10.2.0.0 


。LDP 是 用 来 在 LSR 之 间 建 立 LDP Session 并 交换 后 beéMFEC 映 射 
言 息 的 协议 。 
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MPLS 需 要 使 用 标签 分 发 协议 完成 标签 的 分 配 控制 和 保持 ， 目 前 有 很 多 
种 标签 分 发 协议 ，LDP (Label DistributiomsProtocol) 为 其 中 之 一 ， 
LSR 之 间 可 以 使 用 LDP 协 议 来 交换 标签 信息 。 

上 图 中 ，SWA，SWB，SWC ,SWB 配 置 为 LSR， 运 行 了 LDP 协 议 的 两 
台 LSR 之 间 建 立 LDP Session 并 交换 Label/FEC 映 射 信息 ， 建 立 了 LDP 
Session 的 两 人 台 交 换 机 称 为 LBPR Peers。 
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LDP 消 息 类 型 


Discovery message: 宣告 和 维护 网 络 中 一 个 LSR 的 存在 。 
Session message: 建立 、 维 护 和 终止 LDP Peers 之 间 的 XX 
LDP Session。 

Advertisement message: 生成 、 改 变 和 删除 FEC 的 标签 映 

射 。 


Notification message: 宣告 告警 和 错误 信息 。 
20B 20B/8B Variable 


TCP/UDP 
IP Header LDP PDU 
Header 
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运行 LDP 协 议 的 LSR 之 间 通 过 交换 LDP 消 息 来 发 现 邻 居 、 建 立 和 维护 
LDP Session 并 管理 标签 。 LDP 消 息 承 载 在 UDP 或 TCP 之 上 ， 端 口号 为 
646 。 这 里 简单 介绍 LDP 常 用 的 环 些 消息 和 各 个 消息 的 主要 功能 。 按 照 
消息 的 功能 ，LDP 消 息 一 共 可 以 分 为 四 大 类 型 : Discovery Message， 
Session Message，Advertisement Message 和 Notification Message。 
Discovery message 用 来 宣告 和 维护 网 络 中 一 个 LSR 的 存在 ; Session 
message 用 来 建立 、 维 护 和 终止 LDP Peers 之 间 的 LDP Session; 
Advertisement messages 用 来 生成 、 改 变 和 删除 FEC 的 标签 映射 ; 
Notification message 用 来 宣告 告警 和 错误 信息 。 

Discovery Message 用 来 发 现 邻居 ， 承 载 在 UDP 报 文 上 。LDP 要 求 可 靠 
而 有 序 地 传递 消息 ， 所 以 LDP 使 用 TCP 建 立 Session，Session 
Message，Advertisement Message，Notification Message 等 消息 都 基 
于 TCP 传 递 。 
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LDP 消 息 类 型 与 封装 格式 


20B 20B/8B 10B Variable 


TCP/UDP LDP 
IP Header LDP Message 
Header Header 


2B 2B 6B 


PDU 
Version LDP ldentifier 
Length 


2B 4B Variable Variable 
人 
Message Mandatory Optional 
U Type Message ID 
Length Parameters Pa rameters 
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LDP PDU 包 括 LDP Header 和 LDP Message 两 部 分 。 

LDP Header 长 度 为 10Bytes， 包 括 Mersiom，PDU Length 和 LDP 
ldentifier 三 部 分 。 其 中 Version 占 用 2Bytes， 表 示 LDP 版 本 号 ， 当 前 版 本 
号 为 1。PDU Length 长 度 为 2Bytes ,以 字 节 为 单位 表示 除了 Version 和 
PDU Length 以 外 的 其 他 部 分 的 总 疾 度 。LDP ldentifier 长 度 6Bytes， 其 
中 前 4Bytes 用 来 唯一 标识 一 个 LSR， 后 2Bytes 用 来 表示 LSR 的 标签 空间 
，LSR 的 标签 空间 将 当 U=1 时 在 “Part 4 LDP 标 签 管 理 ” 中 详细 介绍 。 
LDP Message 包 含 五 个 部 他。 其 中 U 占 用 1 个 bit， 为 Unknown Message 
bit。 当 LSR 收 到 一 个 无 法 识别 的 消息 时 ， 该 消息 的 U=0 时 ，LSR 会 返回 
给 该 消息 的 生成 者 一 个 通告 ，， 忽 略 该 无 法 识别 的 消息 ， 不 发 送 通告 给 
生成 者 。Message Length 占 用 2 个 bytes， 以 字 节 为 单位 表示 Message 
ID、Mandatory Parameters 和 Optional Parameters 的 总 长 度 。 
MessageND 占 用 32 个 bit， 用 来 标识 一 个 消息 。Mandatory Parameters 
和 Optional Parameters 分 别 为 可 变 长 的 该 消息 的 必须 的 参数 和 可 选 的 参 
数 -入 Message Type 表示 具体 的 消息 类 型 ， 目 前 ，LDP 定 义 的 常用 的 消 
息 有 Notification ，Hello，Initialization ，KeepAlive ，Address， 
Address Withdraw，Label Mapping，Label Request，Label Abort 
Request，Label Withdraw，Label Release。 
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LDP 消 息 作 用 


消息 类 型 作用 
Me | Hello LDP 发 现 机 制 中 宣告 本 LSR 并 发 现 邻 居 
Senalon | 0 Initialization 在 LDP Session 建 立 过 程 中 协商 参数 W 
Ue KeepAlive 监控 LDP Session 的 TCP 连 接 的 完整 性 
Address 宣告 接口 地 址 
Address Withdraw 撤消 接口 地 址 





Label Mapping 宣告 FEC/Label 映 射 信息 

Advertisement 
Message 中 | Label Request 请 求 FEC 的 标签 映射 

LabelAbort Request 终止 未 完成 的 Label ReSiuest Message 


Label Withdraw 撤消 FEC/Label 映 躬 





Label Release 释放 标签 
Notification 


Message “一 Notification 通知 LDP Peer 错误 信息 
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各 个 消息 的 主要 作用 如 下 : 


Notification I 知 LDP,Peer 错 误 信 息 或 者 其 他 一 些 辅助 信 
息 如 LDP Session 状 态 


Hello Message 主 要 用 | 中 宣告 本 LSR 并 发 现 邻 居 
Initialization Message 用 来 在 LDPASession 建 立 过程 中 协商 参数 。 
KeepAlive Message 用 来 监控 EDP Session 的 TCP 连 接 的 完整 性 。 
Address Message 用 来 宣告 接口 地 址 。 

Address Withdraw Message 用 来 撤消 接口 地 址 。 

Label Mapping Message 用 来 宣告 FEC/Label 映 射 信息 。 

Label Request Message 用 来 向 LDP Peer 请 求 FEC 的 标签 映射 。 


Label AbortReqUest Message 用 来 终止 未 完成 的 Label Request 

Message。 

Label Withdraw Message 用 来 撤消 FEC/Label 映 射 。LSR 通 过 发 送 

0 Withdraw Message 告 诉 对 等 体 该 对 等 体 不 可 以 继续 使 用 自己 以 前 
通告 给 他 的 标签 。 

Label Release Message 用 来 释放 标签 。 当 一 个 LSR 不 再 需要 以 前 从 

EDP Peer 收 到 的 标签 时 ， 就 发 送 一 个 Label Release Message 给 该 LDP 

Peer。 
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全 有 目录 


LDP 邻 居 发 现 和 会 话 建立 
1.1LDP 基 本 概念 
1.2 LDP 邻 居 发 现 机 制 
1.3 LDP 会 话 建立 过 程 
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LDP 发 现 机 制 | 


SWA LDPSession swe _LDP Session swc LDP Session 
Te ee > 


LDP 基 本 发 现 机 制 发 现 直 接连 接 在 同一 链 路 上 的 ESR 邻居 。 
LDP 扩 展 发 现 机 制 发 现 非 直 连 的 LSR 邻 居 。 
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LSR 通 过 LDP 发 现 机 制 发 现 LDP Peers。AEBP 发 现 机 制 包 括 LDP 基 本 发 
现 机 制 和 LDP 扩 展 发 现 机 制 。LDP 基 本 发 现 机 制 可 以 自动 发 现 直 连 在 同 
一 条 链 路 上 的 LDP Peers， 所 以 这 种 情况 下 不 需要 明确 指明 LDP Peer; 
LDP 扩 展 发 现 机 制 能 够 发 现 非 直 连 的 LDP Peers。 
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LDP 基 本 发 现 机 制 


SWA SWB 


1.1.1.1/32 ss | 2.2.2.2/32 


Hello Message 
(1.1.1.1:any port 一 224.0.0.2:646) 一 





Hello Message 
(2.2.2.2:any port 一 224.0.0.2:646) 








Establish TCP Connection 
(2.2.2.2:any port 一 1.1.1.1:646) 
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LDP 的 Discovery message 用 于 邻居 发 现 沪 他 提供 了 这 样 一 个 机 制 |: 
LSR 通 过 周期 性 地 发 送 Hello Message 表 明 自 己 的 存在 。 这 个 消息 是 封 
装 在 UDP 报 文中 的 ， 目 的 端口 号 为 646%, 在 LDP 基 本 发 现 机 制 中 ， 该 消 
息 的 目的 IP 地 址 为 组 播 IP 地 址 224.0W0.2， 即 该 消息 发 给 该 网 段 上 所 有 的 
交换 机 (如 图 中 的 SWA 和 SWB 分 别 周期 性 地 发 送 Hello Message 给 
224.0.0.2) 。Hello Message 中 携带 了 LDP ldentifier 信 息 以 便 告诉 对 方 
自己 使 用 的 标签 空间 。 然 启 IP 地 址 大 的 LSR 作 为 主动 方 发 起 TCP 连 接 。 
TCP 连 接 建立 之 后 ，LSR 会 继续 发 送 Hello Message 以 便 发 现 新 的 邻居 
或 者 检测 错误 。 
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LDP 扩 展 发 现 机 制 | 


SWA SWB SWC 


1.1.1.1132 一 3.3.3.3/32 





Hello Message 
(1.1.1.1:any port 一 3.3.3.3:646) _ 


! 





a Hello Message 
— (3.3.3.3:any port 一 1.1.1.1:646) 


-一 Establish TCP Connection 
— (3.3.3.3:any port 一 1.1.1.1:646) 
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i 


与 LDP 基 本 发 现 机 制 不 同 的 是 ，LDP 扩 展 发 现 机 制 是 运行 LDP 协 议 的 
LSR (如 SWA) 周期 性 地 发 送 Hello Message 给 特定 的 目的 IP， 所 以 需 
要 通过 配置 指定 建立 Session 的 LDP Peer， SR (如 SWB) 将 
决定 是 否 要 回应 该 报 文 ， 如 果 要 回应 ， 则 通过 发 送 Hello Message 给 特 
定 的 LSR (SWA) 。 
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例 目 录 


LDP 邻 居 发 现 和 会 话 建立 
1.1LDP 基 本 概念 

















1.2 LDP 邻 居 发 现 机 制 
1.3 LDP 会 话 建立 过 程 
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LDP Session 建 立 和 维护 


SWA 


1.1.1.1/32 2.2.2.2/32 


— Establish TCP Connection 
(2.2.2.2:any port—1.1.1.1:646) 








Initialization Message 
(2.2.2.2:any port—1.1.1.1:646) 


Initialization Message E 
(1.1.1.1:any port—2.2.2.2:646) 


KeepAlive Message “一 
(1.1.1.1:any port 一 2.2.2.2:646) — 





KeepAlive Message 
_(2.2.2.2:any port_1.1. 个 1:646) 


一 
LDP Session Established 
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建立 TCP 连 接 之 前 ， 两 个 LSR (如 图 中 SWA 和 SWB) 首先 会 决定 使 用 
哪个 地 址 建立 TCP 连 接 以 及 谁 是 主动 方 谁 是 被 动 方 ， 然 后 由 主动 方 发 起 
连接 。 如 果 Hello Message 中 携带 了 Transport Address， 该 Transport 
Address 用 于 建立 TCP 连 接 ， 如 果 Hello Message 中 没有 携带 Transport 
Address， 则 该 Hello Message 的 源 IP 地 址 用 于 建立 TCP 连 接 。 两 个 LSR 
都 从 对 端 发 来 的 Hello Message 中 获得 对 端 用 于 建立 TCP 连 接 的 地 址 ， 
然后 比较 两 个 地 址 的 大 小 汪 地 址 大 的 作为 主动 方 发 起 TCP 连 接 ， 图 中 
SWB 作 为 主动 方 发 起 TCR 连接 。 

TCP 连 接 建立 之 后 ,由 主动 方 (SWB) 发 出 Initialization Message 携 带 
会 话 协 商 参 数 ， 如 LBP 协 议 号 ， 标 签 分 发 方式 等 等 ， 被 动 方 (SWA) 检 
查 参 数 能 够 接受 ， 如 果 接 受 则 发 送 Initialization Message 并 携带 自己 希 
望 使 用 的 协商 参数 广 并 随后 发 KeepAlive Message。 直 到 双方 都 收 到 对 
端的 KeepAlive Message 后， 会 话 建立 。 两 个 LSR 就 会 成 为 LDP Peers 
并 交换 Advertisement Message。 
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LDP Session 建 立 和 维护 


SWA SWB 


1.1.1.1/32 名 一 一 一 一 一 车 2.2.2.2/32 W 


Establish TCP Connection 
(2.2.2.2:any port 一 1.1.1.1:646) 





Initialization Message 
(2.2.2.2:any port 一 1.1.1.1:646) 





Session Rejected/ 
Parameters Error Notification message 
(1.1.1.1:any port 一 2.2.2.2:646) 


SS 


TCP Connection Closed 
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如 果 被 动 方 (SWA) 不 接受 协商 参数 ， 则 改 送 Error Notification 
Message 给 对 方 取消 连接 。 
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本 地 LDP 会 话 基本 配置 


v3_10.1.1.10/30 
10.1.1.9/30 
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中 ，SWA 的 Loopback1 地 址 为 1.1.1.W32swSWB 的 Loopback1 地 址 为 
2.2.2.2/32，SWC 的 Loopback1 地 址 为 3:8s3.3/32，SWD 的 Loopback1 
地 址 为 4.4.4.4/32。 各 交换 机 之 间 的 互 连 地 址 如 图 所 示 。 

配置 SWA 和 SWB 之 间 正 确 建立 LDP'Session， 以 便 分 发 标签 。 

配置 基本 思路 : 

1、 首 先 需要 配置 SWA 和 SWB 的 mpls lsr-id， 用 于 建立 和 维护 LDP 
Session。VRP 没 有 缺 省 的 LSR ID ， 必 须 手 工 配置 ; lsr-id 使 用 IPv4 地 址 
格式 ， 在 MPLS 域 内 唯一 ; 通常 使 用 Loopback 接 口 的 IPv4 地 址 作为 LSR 
ID。 


2、lsr-id 是 用 来 建立 LBP Session， 缺 省 情况 下 使 用 lsr-id 建 立 TCP 连 接 
。 所 以 交换 机 上 要 配置 路 由 协议 使 得 SWA 和 SWB 的 Isr-id 之 间 可 达 。 
3、 全 局 模式 下 站 使 能 MPLS 和 MPLS LDP。 

4、 相 应 的 接 因 下 ， 使 能 MPLS 和 MPLS LDP。 

配置 说 明 : 

[SWAI]mpls Ilsr-id 1.1.1.1 

配置 lsr-id 。 

[SWA]mpls 
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全 局 模式 下 使 能 mpls 
[SWA-mpls]mpls ldp 

MPLS 模 式 下 或 全 局 模式 下 使 能 Idp。 
[SWAlinter v1 

[SWA-VIianif1]mpls 
[SWA-VIanif1]mpls ldp 

接口 模式 下 使 能 mpls 和 Idp。 
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本 地 LDP 会 话 基本 配置 
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[SWAI]dis mpls ldp session 

显示 mpls ldp session 的 状态 ， 状 态 为 Operational 表 示 Session 已 经 正常 
建立 。 

Peer-ID 为 LDP Peer 的 LDP Identifien"， 由 LDP Peer 的 lsr-id (这 里 为 
2.2.2.2) 和 表示 标签 空间 的 2Bytes (这 里 为 0， 表 示 基 于 平台 的 标签 空 
间 ) 构成 。 

由 于 SWA 的 Isr-id 地 址 小 于 SWB 的 Isr-id 地 址 ， 所 以 SWA 为 被 动 方 ， 
SSnRole 为 Passive。 

另外 可 以 使 用 以 下 命令 来 查看 LDP Peer 的 信息 : 

[SWA-Vlanif1]dis mpls Idp peer 


LDP Peer Information in Public network 
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本 地 LDP 会 话 基 本 配置 


verbose 
in Public Network 


Peer LDP ID 

TCP Connection 
on State 
on FT Flag 


nnect Timer 
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[SWAjdis mpls ldp session verbose 


显示 LDP Session 的 详细 信息 。 从 申 可 以 看 出 VRP 在 缺 省 情况 下 使 用 lsr- 
id 建立 TCP 连 接 。 





第 342 页 HUAWEI TECHNOLOGIES HC Series 


HCDP-IESN Module 4 MPLS 


本 地 LDP 会 话 基 本 配置 


Al]mpls lsr-id 1.1.1.1 

mpls 

mplslmpls ldp 

interface v1 
lanifl]mpls 
lanifl]mpls ldp 

[SWA-Vlanifl]mpls ldp transport- 
\address vl 


Blmpls lsr-id 2.2 


[SWB-mpls]mpls ldp 

Bjinterface v1 
[SWB-Vlanifl]jmpls 
[SWB-Vlanifl]mpls ldp 
[SWA-Vlanifl]mpls ldp transport* 
\address vl 





™ 
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上 


[SWA-VIanif1]mpls ldp transport-addressy1 
配置 使 用 直 连 接口 v1 建立 TCP 连 接 。% 
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本 地 LDP 会 话 基本 配置 


< 
perational 


rti emer Mo de 
Peer/Local) 
(DDD: HH: MM) 


(Count: 3 
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从 LDP Session 详 细 信 息 看 出 ， 在 配置 Transport Address 之 后 ，LDP 使 
用 Transport Address 配 置 的 IP 地 址 建立 TEP 连 接 。 
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端 LDP 会 话 基 本 配置 


Almpls lsr-id 1.1.1.1 V LE F910 B303<3 
]mpls 
SWA-mpls]mpls ldp SI plLs]j]mp1ls ldp 
[SWA]mpls ldp remote-peer test ldp remote-peer test 
[SWA-mpls-ldp-remote-test]remote- [SWC-mpls-ldp-remote-test]remote=i 
lip 3.3.3.3 了 
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配置 SWA 和 SWC 之 间 建 立 Remote LDPyJSession 。 
配置 思路 : 


与 本 地 LDP 会 话 相 同 ， 也 需要 首先 配置 Isr-id 并 通过 路 由 协议 保证 
SWA 和 SWC 的 lsr-id 之 间 的 可 过 性 。 


2、 配 置 LDP remote peer。 

配置 说 明 : 

[SWA]JImpls Ildp remoteipeer test 
[SWA-mpls-ldp-remaote-testjremote-ip 3.3.3.3 

首先 创建 一 个 远 端 对 等 体 ， 然 后 指定 对 等 体 的 Isr-id。 
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远 端 LDP 会 话 基 本 配置 


s ldp session 


On(S) in Public Network 


SsnAge Unit : DERcMM 
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可 以 看 出 ，SWA 和 和 SWC 正确 建立 了 LDP:Remote Session。 
也 可 以 使 用 以 下 命令 查看 LDP Remote Peer 的 信息 : 
[SWAI]dis mpls Idp remote-peer test 

LDP Remote Entity INformation 





Remote Peer Name: test 


Remote Peer IP: 3.3.3.3 LDP ID: 1.1.1.1:0 

Transport Address;x1™.4.1 Entity Status: Active 

Configured Keepalive Timer: 45 Sec Configured Hello Timer: 45 
Sec 


Negotiated Hello Timer: 45 Sec “Hello Packet sent/received: 100/98 
可 以 看 出 ， 缺 省 情况 下 ，LDP 也 是 使 用 Isr-id 来 建立 TCP 连 接 的 从 而 建立 
LDP Reniete /Session 的 (如 上 所 示 Transport Address: 1.1.1.1 ) 。 

可 以 通过 以 下 命令 来 修改 Transport Address: 

[SWAImpls Ildp remote-peer test 

[SWA-mpls-ldp-remote-testlmpls ldp transport-address ? 





BoopBack LoopBack interface 





第 346 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IESN Module 4 MPLS 


LDP 状 态 机 








NON 本 
EXISTENT 
在 
消 Session 建 立 收 到 Init 以 外 
收 到 的 消息 不 
是 KeepAlive 的 消息 或 超时 
或 超时 











1 


INITIALIZED 





被 动 方 收 到 init 消 息 主动 方 发 
发 送 init 和 KeepAlive 送 init 消 息 

















+ vy 收 到 init 外 的 
消息 或 超时 

OPENREC OPENSENT 
收 到 Init 消 息 


收 到 发 送 KeepAlive 消 息 
KeepAlive 









































330 . 
BERAUIONA 收 到 shutdown 消 息 或 超时 收 


到 shutdown 或 超时 
f 到 si 
其 他 LDP 消 息 发 送 shg 生 Sn 
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LDP Session 协 商 过 程 可 以 通过 状态 机 来 描述 。 如 图 所 示 ， 有 5 种 状态 

。 分 别 是 NON-EXISTENT,， INITIALIZEDsSOPENREC, OPENSENT 
，OPERATIONAL。 

NON-EXISTENT 状 态 : 该 状态 为 LDP Session 最 初 的 状态 ， 在 此 状态 双 
方 发 送 HELLO 消 息 ， 选 举 主动 方舟 在 收 到 TCP 连 接 建立 成 功 事件 的 触发 
后 变 为 INITIALIZED 状 态 。 

INITIALIZED 状 态 : 该 状态 下 分 为 主动 方 和 被 动 方 两 种 情况 ， 主 动 方 将 
主动 发 送 Initialization 消 息 S% 转 向 OPENSENT 状态 ， 等 待 回应 的 
Initialization 消 息 ; 被 动 方 在 此 状态 等 待 主动 方 发 给 自己 的 Initialization 
消息 ， 如 果 收 到 的 Initialization 消 息 的 参数 可 以 接受 ， 则 发 送 
Initialization 和 KeepAlive 转 向 OPENREC 状 态 。 主 动 方 和 被 动 方 在 此 状 
态 下 收 到 任何 非 Initialization 消 息 或 等 待 超 时 时 ， 都 会 转向 NON- 
EXISTEN 生 状态。 

OPENSENT 状态 : 此 状态 为 主动 方 发 送 Initialization 消 息 后 的 状态 ， 在 
此 状态 等 待 被 动 方 回答 Initialization 消 息 和 KeepAlive 消 息 ， 如 果 收 到 的 
Initialization 消 息 中 的 参数 可 以 接受 则 转向 OPENREC 状 态 ， 如 果 参 数 不 
能 接受 或 Initialization 消 息 超时 则 断 开 TCP 连 接 转 向 NON-EXISTENT 状 
太 


Tso 
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OPENREC 状 态 : 在 此 状态 不 管 主动 方 还 是 被 动 方 都 是 发 出 KeepAlive 
后 的 状态 ， 在 等 待 对 方 回 应 KeepAlive ， 只 要 收 到 KeepAlive 消 息 就 转向 
OPERATIONAL 状 态 ; 如 果 收 到 其 它 消息 或 KeepAlive 超 时 则 转向 NON- 
EXISTENT 状 态 。 

OPERATIONAL 状 态 : 该 状态 是 LDP Session 成 功 建立 的 标志 。 在 此 状 
态 下 可 以 发 送 和 接收 所 有 其 它 的 LDP 消 息 。 在 此 状态 如 果 KeepAlive 超 
时 或 收 到 致命 错误 的 Notification 消 息 (Shutdown 消 息 ) 或 者 自己 主动 
发 送 Shutdown 消 息 主动 结束 会 话 ， 都 会 转向 NON-EXISTENT 状 态 & 
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LDP 状 态 机 案例 分 析 


wz 


/ 





by <SWB>terminal monitor 
<SWB>terminal debugging 
LDP Session 
<SWB>debug mpls ldp session 


~ 
| SWA SWB 以 
0.12902062 SWB LDP/8/Session: Vlanifl v1 10.1.1.2/30 


10.1.1.1/30 


Link Hello message received on interface: 


1.1.1.1/30 2.2.2.2/30 


ES Non-Existent , 


Link Hello message s TCP connection SU 
Vlanifl 


established Initialized 
*0.12902062 SWB LDP/3/S on: Vlanifl | 


Session(1.1.1.1,Active role) start to 
open TCP connection. 





*0.12902062 SWB LDP/8/5: ion: Vlanifl 


Session(1.1.1.1)'s state changed from 
Non-existent to Initialized. 
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打开 mpls ldp session 调 试 信息 ， 进 一 步子 解 KDP 状 态 机 的 迁移 过 程 。 
<SWB>terminal monitor 

<SWB>terminal debugging 

<SWB>debug mpls Idp session 

打开 mpls Idp session 调 试 开关 并 将 调试 信息 输出 到 控制 台 。 


从 调试 信息 可 以 看 出 ，SWB 作 为 主动 方 发 起 TCP 连 接 。 状 态 机 从 NON- 
EXISTENT 转 移 到 INITIALIZED。 
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LDP 状 态 机 案例 分 析 


RS 


SN 





session: Vlanifl 


LDP Session 


Link Hello message received on 


interface; Vlanifl SWA 


> 
SWB 
de v1 10.1.1.2/30 XX 
Jul 24 12:07:11 2 SWB LDP/5/LOG: 10.1.1.1/30 v1 


Received TCP UP Event for TCP SockId 2 2.2.2.2/30 
31844 SWB LDP/8/: 1 
Non-Existent 


TCP UP event received for socket Id: 2 


*0.12931844 SWB LDP/8/Session: Vlanifl TCP connection 


Session(1.1.1.1) start to send init msg established ihitialized 
on Initialized state. 


*0.12931844 SWB LDP/8/Session: 


Active Role, Tx Init Msg 


Session Init message sent to LSR: 
os QpenSent 


#0.12931844 SWB LDP/8/Session: Vlanifl 








Session(1.1.1.1)'s state changed from 
Initialized to Open Sent. 








在 INITIALIZED 状 态 发 送 Initialization Message 并 转移 到 OPENSent 状 态 


o 
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LDP 状 态 机 案例 分 析 


#Jul 24 12 上 20 多 
LDP/S/: sion(1.1.1.1:0, 





public I 
state change to 
*0.12931969 SWB LDP 


Session(1.1.1.1) received init msg in 
Open Sent state. 


*0.12931969 SWB LDP/8/Session: Vlanifl 


: Vlanifl 


Session(1.1.1.1)'s state changed from 
Open sent to Open received. 


*0.12931969 SWB LDF/8/Session: Vlanifl 
Session(1.1.1.1) received keep alive 
message on Open Received state. 


HCDP-IESN Module 4 MPLS 


LDP Session 
WA 

v1_ 10.1.1.2/30 

10.1.1.1/30 v1 


2.2.2.2/30 


| Non-Existent 


TCP connection ! A 


established | Initialized 


Active Role, Tx Init Msg 
| OpenSent | 


Rx Acceptable Init Msg 
OpenRec | 








*0.12931969 SWB LDP/8/Session: Vlanifl | pS 
Rx Keepalive Msg UL 
Session(1.1.1.1)'s state changed from 
Open received to operational. ........ Operational 


Mb Huawel 
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OPENSent 状 态 接收 Initialization Message 并 发 送 KeepAlive Message， 
迁移 到 OPENRec 状 态 。 在 OPENRec 状 态 接 收 到 KeepAlive Message 后 
， 迁 移 到 OPERATIONAL 状 态 。 





HC Series HUAWEI TECHNOLOGIES 第 351 页 


HCDP-IESN Module 4 MPLS 


合 有 目录 


LDP 邻 居 发 现 和 会 话 建立 
LDP 标 签 管理 
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例 目 录 


LDP 邻 居 发 现 和 会 话 建立 
2.1 LDP 标 签 空间 
2.2 LDP 标 签 分 发 
2.3 LDP 标 签 控 制 
2.4 LDP 标 签 保 持 
2.5 PHP 
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LDP 标 签 空间 


20B 20B/8B 10B Variable 


TCP/UDP LDP 
IP Header LDP Message 
Header Header 
as 
人 2B 2B 6B 、 


PD 





LDP Ildentifier 
Length 


i 


Labe 
1Space 


Lsr-id 


0x90: ”基于 事 台 的 标签 空间 
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LDP Header 中 包含 6Bytes 的 LDP Identifierss 其 中 前 4Bytes 表 示 Lsr-id ， 
后 2Bytes 表 示 标 签 空间 。 标 签 空间 有 基于 平台 的 标签 空间 和 基于 接口 的 
标签 空间 ， 当 后 2Bytes 填 充 0 时 表示 基于 平台 的 标签 空间 。 帧 模式 封装 
的 MPLS 使 用 基于 平台 的 标签 空间 \ 信 元 模式 的 MPLS 使 用 基于 接口 的 
标签 空间 。 
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间 


HCDP-IESN Module 4 MPLS ~ 





[SWA]dis mpls ldp session verbose 


LDP Session(s) in Public 
Peer LDP ID 

TCP Connection 
Session State 
Session FT Flag : 
Reconnect Timer : 


Tl wo dd 
: Operational 


Off 


3 六 
2 


Negotiated Keepalive Timer 
Keepalive Message Sent/Rcvd 
Label Advertisement Mode 

Label Resource Status (Peer/Local) 
Session Age 


Addresses received from peer: (Count: 


10.1.1.2 25252.2 
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VRP 使 用 基于 平台 的 标签 空间 。 


令 
令 


ES 
人 
‘> 


Network 
Local LDP ID 


Session Role 
MD5 Flag 


Recovery Timer : 


Sec 
8/288 
(DDD: 


Ee! 
1051s155 





(Message Co 
: Downstream Unsolicite 
: Available/Available 
: 000:01:11 


1.1.1.150 


Passive 
> OEE 


HH: MM) 
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平台 的 标签 空 | 
\ NA 日 
ee NA = 
7 \ 7 
0 1 <SWC>display mpls lsp include 10.1.0.0 24 


In/out Label In/Out IF Vrf Name | pe ee Wy VE SE 
10.1.0.0/24 1032/1029 -/Vlanif4 和 


八 0. 一 i 
\ao.1.0.0/24 1032/1029 -/Vlanif3 二 更 二 /ne 





1.1.1.1/32 2.2.2.2/32 [Ea 4.4.4.4/32 
SWA B [9 'SWD 


10.1.1.0/30 本 次 区 10.1.1.8/30 


MPLS Domain 
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于 平台 的 标签 空间 中 ，LSR 为 一 个 目的 网 段 分 配 只 分 配 一 个 标签 ， 
2 全 所 有 的 LDP Peers。 该 标签 基于 平台 ， 可 以 用 于 本 LSR 
任意 一 个 入 接口 。 故 该 方式 可 以 节省 标签 。 

帧 模式 的 MPLS 缺 省 都 使 用 基 玫 平台 的 标签 空间 。 

如 上 图 ，SWB 为 10.1.0.0 分 配 一 个 标签 1029 并 分 别 发 送 给 他 的 LDP 
Peer SWC 和 SWE。 所 以 SWG.E 到 达 10.1.0.0 的 数据 包 封 装 出 标签 1029 
并 通过 接口 Vlanif2 转 发 给 下 所 跳 SWB， 同 样 SWE 上 到 达 10.1.0.0 的 数据 
包 也 封装 出 标签 1029 并 通过 接口 Vlanif4 和 Vianif3 (在 SWE 和 SWB 之 间 
存在 两 条 链 路 ) 转发 给 平生 跳 SWB 。 
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基于 平台 的 标签 空间 


/ <swE>display mpls ldp session | include 2.2.2.2 








[SWB]display mpls lsp include 10.1.0.0 24 LDP Session(s) in Public Network 


Peer-ID 
In/Out Label In/Out IF Vrf Name 
10.1.0.0/24 NULL/3 -/Vlanifl LAM : Label Advertisement Mode SsnAge Unit : 
~10.1.0.0/24 1029/3 -/Vlanif1 A \ DDD:HH:MM 


1.1.1.1/32 2.2.2.2/32 [Ea 4.4.4.4/32 
SWA ‘SWD 








10.2.0.0124 


MPLS Domain 


5.5.5.5/32 
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在 SWB 上 根据 入 标签 转发 ， 入 标签 为 1029 的 数据 包 从 接口 Vilanif1 转 发 
出 去 。 

另外 还 可 以 看 出 在 SWE 和 SWB 之 间 虽 然 存 在 两 条 链 路 ， 但 是 LDP 只 建 
立 一 个 Session 传 递 标签 。 故 基于 平台 的 标签 空间 可 以 最 小 化 LDP 
Session 的 数量 。 
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基于 平台 的 标签 空间 


| [SsWB]display mpls lsp include 10.1.0.0 24 





In/Out Label In/Out IF 
| 10.1.0.0/24 -/Vlanifl 
\a0.1.0.0/24 二 , -/Vlanifl 





1.1.1.1/32 
WA 


MPLS Domain 


5.5.5.5/32 
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但 是 基于 平台 的 标签 空间 在 安全 性 上 有 这 样 二 个 次 端 : 假设 SWB 只 后 
SWC 分 发 了 标签 1029， 并 没有 向 SWE 发 送 标 签 ， 即 SWB 不 希望 标签 转 
发 从 SWE 来 的 数据 包 。 但 是 如 果 在 SWE 上 有 攻击 者 伪造 了 标签 为 1029 
的 报 文 发 给 了 SWB， 由 于 SWB 转 发 的 时 候 只 是 根据 入 标签 去 匹配 但 是 
并 不 检查 入 接口 ， 所 以 按照 SWB 寂 的 标签 转发 表 ，SWB 也 会 将 这 个 非 
法 报 文 转发 。 
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例 目 录 


LDP 邻 居 发 现 和 会 话 建立 
2.1 LDP 标 签 空间 
2.2 LDP 标 签 分 发 
2.3 LDP 标 签 控 制 
2.4 LDP 标 签 保持 
2.5 PHP 
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标签 分 发 一 DU 


1.1.1 “2 4.4.4.4/32 以 
SWB SWC SWD 


V1 V2 V2 V3 
10.1.1.4/30 10.1.1.8/30 


MPLS Domain 
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标签 分 发 有 两 种 方式 DU (Distribution Urisolicited) 和 DOD ( 
Distribution on Demand) 。DU 方 式 下 ,无需 上 游 交 换 机 请 求 ， 下 游 
LSR 将 根据 某 一 触发 策略 向 上 游 LSR 发 送 相应 网 段 (通过 配置 可 以 分 别 
实现 对 路 由 表 中 所 有 网 段 、 对 路 由 表 中 主机 路 由 或 者 对 特定 的 IP Prefix 
分 发 标签 ) 的 标签 映射 消息 (Label Mapping Message) 。 这 里 简单 介 
绍 上 游 和 下 游 的 概念 : 对 于 22.2.2/32， 下游 LSR 为 SWB， 上 游 LSR 为 
SWA，SWC; 对 于 1.1.1.1/82, 下 游 LSR 为 SWA， 上 游 LSR 为 SWB。 
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示 签 分 发 一 DoD 


A 
10.1.1.0/30 


2.2.2.2/Label@ > 





40.1 > 


10.1.0.0/LabelQ® 


102 > 


Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. 


1.1.1.1/Label| 


HCDP-IESN 


4.4.4.4/32 
SWD 


3.3.3.3/32 
SWC 


10.1.1.4/30 10.1.1.8/30 


MPLS Domain 


,Page38 
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Mb huawel 


DoD 方 式 下 ， 只 有 当 收 到 上 游 交 换 机 请 求 特定 网 段 的 标签 请 求 消息 ( 
Label Request Message) 时 ， 才 发 送 标签 映射 消息 (Label Mapping 
Message) 给 上 游 交 换 机 。 如 图 电 SWB 只 有 收 到 SWA 的 标签 请 求 消息 
(2.2.2.2/Label) 时 才 会 发 送 标签 映射 消息 给 SWA (2.2.2.2/1029) 。 
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HUAWEI TECHNOLOGIES 


第 361 页 


HCDP-IESN Module 4 MPLS 


标签 分 发 配置 实例 与 分 析 








mpls] lsp-trigger none 


ol1s] lsp-trigger none | 


SWC-mp 
[SWB] interface v2 
2]mpls ldp advertisement dod / 以 





sjlsp-trigger host 








1.1.1.1/32 2.2.2.2/32 3.3.3.3/32 4.4.4.4132 
SWA SWB pop SWC SwWD 


DU 
v1 v1 V2 V2 
10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 


MPLS Domain 
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上 图 中 ，SWA 和 SWB 之 间 使 用 VRP5.30 缺 省 的 标签 分 发 方式 DU，SWB 
和 SWC 之 间 配 置 为 DoD 方 式 。 

在 SWA 和 SWC 上 都 配置 为 触发 建立 LSR， 分 别 观察 SWB，SWA 和 
SWC 上 的 标签 情况 。 

配置 解释 : 

[SWB-mpls] lsp-trigger host 配置 32 位 地 址 的 主机 IP 路 由 触发 建立 LSP 
[SWC-mpls] lsp-triggemrione 不 触发 建立 LSP 
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标签 分 发 配置 实例 分 析 


ZSWA>display al ldp| Isp 
LDP LSP Information 





SN DestAddress/Mask In/OutLabel Next-Hop In/Out-IF a ee 


2.2.2.2/32 Liberal 





A"™ before an LSP means the LSP is not established REO 
A"™ before a Label means the USCB or DSCB is stale \2.2.2.2/32 3INULL 十 


1.1.1.1/32 2 4.4.43132 
SWA SwWB 一 swD 


10.1.1.8/30 





[SWC-mplsldisplay mpls ldp lsp 了 10.2.0 / 
[SWC-mpls] 
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可 以 看 出 ， 由 于 SWB 和 SWA 之 间 采 用 D 划 方式 分 发 标签 ， 所 以 虽然 上 游 
交换 机 SWA 没 有 向 SWB 请 求 标签 ,。 但 是 SWB 依 然 发送 标签 映射 》 肖 息 给 
SWA， 在 SWA 上 能 够 看 到 SWB 分 发 的 标签 。 

而 SWB 和 SWC 之 间 采 用 DoD 方 或 分 发 标签 ， 因 为 上 游 交 换 机 SWC 没 有 
请 求 标签 ， 所 以 SWB; 股 有 发 送 标签 映射 消息 给 SWC， 故 SWC 上 没有 相 
应 的 标签 映射 。 
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例 目 录 


LDP 邻 居 发 现 和 会 话 建 立 
2.1 LDP 标 签 空间 
2.2 LDP 标 签 
2.3 LDP 标 签 控制 
2.4 LDP 标 签 保持 





2:5 PHP 
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标签 控制 一 Independent 


DoD+Independent 





1.1.1.1/32 2.2.2.2/32 3.3.3.3/32 4.4.4.4/32 
SWA 所 1.1.1.1/Label swB < 1.1.1.1/Label swc <1.1.1.1/Labell swD 


10.1.1.8/30 








MPLS Domain 
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标签 控制 方式 有 两 种 Ordered 和 Independeants 


采用 Independent 控 制 方式 时 ， 每 售 LSR 随 时 可 以 向 邻居 发 送 标签 映射 
。 如 ， ee 当 LSR (图 中 SWC) 收 

到 上 游 交 换 机 (图 中 SWD) 发 玉 的 标签 请 求 消息 时 ， 不 必 等 待 自己 的 下 

游 交 换 机 (如 图 中 SWB) 发 来 标签 映射 ， 0 该 标签 请 求 消 
息 发 送 自己 的 标签 映射 给 上 游 交 换 机 (图 中 SWD) 。 
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标签 控制 一 Independent 


DU+Independent 


1.1.1.1/32 2.2.2.2/32 3.3.3.3/32 4.4.4.4/32 


10.1.1.0/30 Ss 10.1.1.8/30 
1.1.1 1.1.1.1/1029、 
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在 使 用 DU 作为 标签 分 发 方式 的 情况 下 , 6 无 论 何 时 ， 只 要 LSR 准 备 好 标 
签 转发 相应 的 FEC， 就 可 以 向 其 邻居 发 送 标签 映射 。 如 上 图 中 ， 配 置 
SWA 不 触发 LSP，SWB 对 所 有 路 由 触发 LSP， 由 于 SWB 使 用 
Independent 作 为 标签 控制 方式 ， 所 以 尽管 它 的 下 游 交 换 机 (SWA) 不 
会 给 它 分 发 标签 ， 它 也 会 发 送 标签 映射 给 它 的 上 游 交 换 机 (SWD) 。 
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标签 控制 一 Ordered 


DoD+Ordered 


4 








1.1.1.1/32 2.2.2.2/32 3.3.3.3/32 4.4.4.4/32 
WA < 1.1.1.1/Label swWB < 1.1.1.1/Label swc < 1.1.1.1/Label swp 
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当 标签 控制 方式 为 Ordered， 只 有 当 LSR 赂 到 特定 FEC 下 一 跳 发 送 的 特 
定 FEC- 标 签 映射 消息 或 者 LSR 是 LSP 的 出 加 节点 时 ，LSR 才 可 以 向 上 游 
发 送 标签 映射 消息 。 

上 图 给 出 了 标签 控制 方式 为 Ordered》 分 发 方式 采用 DoD 时 标签 的 分 配 
情况 ，SWD 向 下 游 交换 机 ( 即 特定 FEC 下 一 跳 交 换 机 ) LSR SWC 请 求 
1.1.1.1 的 标签 A 他 的 下 游 交 换 机 SWB 发 给 他 的 标签 映 
射 消息 之 后 才 可 能 给 SWD 分 发 标签 ， 所 以 SWC 在 给 SWD 分 发 标签 之 前 

， 首 先 发 送 标 签 请 求 消息 给 SWB， SWB 再 发 送 标签 请 求 消息 给 SWA， 

由 于 SWA 是 该 LSP 府 包 吕 节 点 ， 所 以 SWA 分 发 标签 给 SWB，SWB 收 到 
SWA 分 发 的 标签 启 和 ‰ 再 分 发 标签 给 SWC，SWC 收 到 SWB 分 配 的 标签 后 
， 再 为 SWD 分 发 标签 。 
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标签 控制 一 Drdered 


DU+Ordered 


4 


1.1.1.1/32 2.2.2.2/32 3.3.3.3/32 4.4.4.4/32 
'SWD 
v1 v1 V2 V2 V3 
10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 


MPLS Domain 
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上 图 给 出 了 标签 控制 方式 为 Ordered， 标 签 分 发 方式 为 DU 时 标签 的 分 配 
情况 。 下 游 交 换 机 SWA 发 送 1.1.1.1 的 标签 映射 消息 给 SWB，SWB 收 到 
下 游 交 换 机 SWA 分 发 的 标签 后 给 SWC 分 发 标签 ，SWC 收 到 SWB 发 来 的 
标签 后 再 给 SWD 发 送 标 签 。 
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标签 分 发 和 控制 方式 实例 分 析 


[SWA]mpls [SWCIm 
pls 
[SWA-meplsl!sp-triggernone [SWC-mpls] Isp-trigger none | 


/ 
WB-mplsjlsp-trigger all / / 
WB-mplsjmpls ldp pa 
[SWB-mpls-ldp]Jlabel-distribution independent / J 
一 / 
学 1/ 














A 
1.1.1.1/32 2.2.2.2/32 
SWB 
V2 
10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 


MPLS Domair 


‘10.1.0. “0.2.0.0124 ， 
< DU+Independent 4 
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上 图 中 ，SWA 和 SWB 之 间 采 用 DU 标签 分 发 方式 ，SWB 上 配置 采用 
Independent 标 签 控 制 方式 ，SWB 上 通过 路 由 协议 学 习 到 SWA 所 连接 网 
段 的 路 由 ， 并 且 配 置 SWB 所 有 静态 路 由 和 1IGP 路 由 项 触发 建立 LSP， 
SWA 配 置 为 不 触发 LSP 。 观 察 SWB 和 SWC 上 的 标签 信息 。 
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标签 


[RPR 人 mpls eh 


分 发 和 控制 万 式 实例 分 析 





/ {Swcjdisply mpls op 








LP eton: LDP LSP 


LSP 1 .LDP LsP 








In/Out be In/Out IF 
3/NULL 十 
1024/NULL -/- 
1027/NULL -/- 


FEC 
2.2.2.2/32 
1.1.1.1/32 

\ 10.1.0.0/24 


A 


DU SWB DU SWC 
v1 v1 V2 V2 
10.1.1.0/30 10.1.1.4/30 


区 
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可 以 看 出 ， 虽 然 SWA (下 游 交 换 机 ) > 
用 Independent 控 制 方式 ， 仍 然 发 送 标签 


) 。 


2.2.2.2/32 


In/out Label In/Out IF Vf Name 
1025/1024 -/Vlanif2 
1024/3 -/Vlanif2 
1026/1027 -/Vlanif2 


Vane 1.1.1.1/32 


2.2.2.2/32 
10.1.0.0/24 


3.3.3.3/32 4.4.4.4132 


SWD 


MPLS Domair 


DU+Independent 





Mb Huawel 


有 有 分 配 标签 给 SWB ， 但 SWB 采 
映射 消息 给 SWC (上 游 交 换 机 
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HCDP-IESN Module 4 MPLS 


标签 分 发 和 控制 方式 实例 分 析 





[SWB]mpls 

[SWB-mpls]lsp-trigger all 

[SWB-mpls]mpls Idp 
[SWB-mpls-ldp]label-distribution ordered 


六 
\ 


ed 
1.1.1.1/32 2.2.2.2132 3.3.3.3/32 4.4.4.4/32 
DU DU DU :SWE 
v1 v1 V2 V2, V3 V3 
10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 





MPLS Domain 


DU+Ordered 
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将 SWB 上 的 标签 控制 方式 改 为 Ordered.PSWB 是 否 会 给 1.1.1.1/32 分 发 
标签 呢 ? 

配置 解释 : 

[SWB-mpls-ldpjlabel-distribution ordered 

配置 标签 控制 方式 为 Drderede 
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标签 分 发 和 控制 方式 实例 分 析 


<SWB>dis mpls Isp 








LSP Information: LDP LSP 





Inout Label In/Out IF Vrf Name 
2.2.2.2/32 3/NULL -/- 


/ 
yw 
Ni 
2 
ee 


ae 
1.1.1.1/32 人 基 民 2132 3.3.3.3/32 4.4.4.4/32 
WA SWB SWC 
V1 v1 V2 V2 
10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 





MPLS Domain 


DU+Ordered 


Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. 2 HUAWEI 


使 用 display mpls Isp 查 看 SWB 的 LSP， 厅 以 看 到 SWB 上 配置 了 使 用 
Ordered 的 标签 控制 方式 后 ， 由 于 SWB 没 有 收 到 下 游 交 换 机 SWA 给 
1.1.1.1/32 分 发 的 标签 (在 SWA.b 使 用 lsp-trigger none 命 令 禁 止 了 触发 
对 本 地 路 由 分 发 标签 ) ， 所 以 SWB 就 不 会 给 上 游 交 换 机 SWC 发 送 
1.1.1.1/32 标 签 上 映射 消息 ， 即 不 建立 LSP。 
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全 目录 


LDP 邻 居 发 现 和 会 话 建立 
2.1 LDP 标 签 空间 
2.2 LDP 标 签 分 发 





2.3 LDP 标 签 控制 
2.4 LDP 标 签 保 持 
2.5 PHP 
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标签 保持 一 Conservative 


1.1.1.1/32 2.2.2.2/32 [Ebel 0 > 2332 4.4.4.4/32 
SWA SWB SWC SWD 


V3 
10.1.1.0/30 10.1.1.8/30 


MPLS Domain 


Distard 
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当 使 用 DU 标签 分 发 方式 时 ，LSR 可 能 从 伤 个 KDP Peer 收 到 到 同一 网 段 
的 标签 映射 消息 ， 如 图 中 SWC 会 分 别 从 SWB 和 SWE 收 到 网 段 
10.1.0.0/24 的 标签 映射 消息 。 如 果 采 用 Conservative 保 持 方 式 ， 则 SWC 
只 保留 下 一 跳 SWB 发 来 的 标签 。 丢 弃 非 下 一 跳 SWE 发 来 的 标签 。 

当 使 用 DoD 标 签 分 发 方式 时 ， 如 果 采 用 Conservative 保 持 方式 ，LSR 根 
据 路 由 信息 只 向 它 的 下 一 跳 请 求 标签 。 

Conservative 方 式 的 优点 在 于 内需 保留 和 维护 用 于 转发 数据 的 标签 ， 当 
标签 空间 有 限时 ， 这 种 方式 非常 实用 ， 如 ATM 交 换 机 ; 缺点 在 于 如 果 路 
由 表 中 到 达 目 的 网 段 的 平 熏 跳 发 生 了 变化 ， 必 须 从 新 的 下 一 跳 那里 获得 
标签 然后 才能 够 转发 数据 。 
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标签 保持 一 Liberal 


1.1.1.1/32 2.2.2.2/32 [Eel 0 > 2322 4:4.4.4/32 
SWA SWB SWC SWD 


10.1.1.0/30 10.1.1.8/30 


MPLS Domain 





Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. Page52 2 HUAWEI 


DU 标签 分 发 方式 下 ， 如 果 采 用 Liberal 保 持 广 式 ， 则 SWC 保 留 所 有 LDP 
Peer SWB 和 SWE 发 来 的 标签 ， 无 论 该 LBP' Peer 是 否 为 到 达 目 的 网 段 的 
下 一 路 。 

DoD 标 签 分 发 方式 下 ， 如 果 采 用 Liberal 保 持 方式 ，LSR 会 向 所 有 LDP 
Peer 请 求 标签 。 但 通常 来 说 ，DoB 分 发 方式 都 会 和 Conservative 保 持 方 
式 搭 配 使 用 。 

Liberal 方 式 的 最 大 优点 在 于 路 由 发 生变 化 时 能 够 快速 建立 新 的 LSP 进 行 
数据 转发 ， 因 为 Liberal 方 式 保留 了 所 有 的 标签 。 缺 点 是 需要 分 发 和 维护 
不 必要 的 标签 映射 。 
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标签 保持 一 配置 实例 与 分 析 


<SWC>display ip routing-table 10.1.0.0 
Routing Table : Public 
Summary Count : 1 
Destination/Mask Proto Pre Cost NextHop Interface 
10.1.0.0/24 OSPF 10 4686 10.1.1.5 Vlanif2 1/ 以 


一， 
2 
RN 
> 


1.1.1.1/32 2.2.2.2/32 > 4.4.4.4/32 
SWA SWC 'SWD 


v1 
10.1.1.0/30 10.1.1.8/30 








MPLS Domain 
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从 中 可 以 看 出 SWC 到 10.1.0.0/24 的 下 一 跳 为 SWB。 另 外 ， 缺 省 的 标签 
保持 方式 为 Liberal。 
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标签 保持 一 配置 实例 


yy 2.2.2.2/32 [Ea > 32 4.4.4.4/32 
SWA SWC SWD XX 


v1 
10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 


妃 
eg 
2 
宣 
O 
< 
a 


MPLS Domain 
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从 中 可 以 看 出 SWC 保 留 了 SWB 和 SWE 分 发 的 标签 。 
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标 釜 保 持 一 配置 实例 (SWC) 


pe 
<SWC>display mpls ldp lsp | include 10.1.0.0 





10.1.0.0/24 1026/1025 = Vlanif3/Vlanif2 
10.1.0.0/24 1026/1025 0.1.1。 Vlanifl/Vlanifz2 
10.1.0.0/24 Liberal 


efore an LSP means the is not established 
efore a Label means the U Oo B is stale 





3.3.3.3/32 
SWC 


V2 V3 
10.1.1.4/30 10.1.1.8/30 
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从 中 可 以 看 出 SWC 保 留 了 SWB 和 SWE 分 发 的 标签 。 
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标 位 保持 一 配置 实例 与 分 析 


[SWCjmplsld 
[SWC-mpls-ldp]jlabel-retention conservative 








SA 


1.1.1.1/32 2.2.2.2/32 > 4.4.4.4/32 
SWA 'SWD 


v1 
10.1.1.0/30 10.1.1.8/30 


MPLS Domain 
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配置 SWC 采 用 conservative 标 签 保持 方式 3 
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标签 保持 一 配置 实例 


1.1.1.1/32 2.2.2.2/32 
SWA 


[e322 
v1 


10.1.1.0/30 10.1.1.4/30 


< 
> 
2 
(a 
a 
a 


© ‘> 
冲 


MPLS Domain 
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从 中 可 以 看 出 SWC 只 保留 了 SWB 分 发 的 标签 % 


HUAWEI TECHNOLOGIES 


4.4.4.4/32 
SWD 


10.1.1.8/30 


Wb huawel 





HC Series 


4 





HCDP-IESN Module 4 MPLS 


标签 保持 一 配置 实例 (SWC) 





/<[SWC]display mpls ldp lsp | include 10.1.0.0 


LDP LSP Informatio 


Vlanifl1/ 
7 if3/Vlanif2 


an LSP means the 
e a Label means the USCB or DSCB is stale 


3.3.3.3/32 
SWC 


V2 V3 
10.1.1.4/30 10.1.1.8/30 
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从 中 可 以 看 出 SWC 只 保留 了 SWB 分 发 的 标签 % 
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VRP5.30 推 荐 组 合 


[SWC]display mpls ldp 
al Information 


Neighbor Liveness 


E -Instance 
Instance Status : ive LSR ID 
Hop Count Limit Path Vector Limit 
Loop Detection 
> DU Re-advertise Flag 
‘equest : Off Request Retry Flag 
Distribution Mode : Label Retention Mode 


[SwC]display mpls ldp session 
LDP Session(s) in Public Network 


Label Advertisement Mode SsnAge Unit : DDB:HH:MM 
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VRP 推 荐 组 合 为 DU+Ordered+Liberal。 补 组 合 为 VRP 缺 省 设置 。 
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全 目录 


LDP 邻 居 发 现 和 会 话 建 立 
2.1 LDP 标 签 空间 
2.2 LDP 标 签 分 发 
2.3 LDP 标 签 控 制 





2.4 LDP 标 签 保持 
2.5 PHP 
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数据 转发 回顾 及 优化 














10.1.1.8/30 


MPLS Domain 


所 0.1.0.0/24 
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使 用 LDP 完 成 了 标签 交互 ， 正 确 建立 LSP 后 ;数据 报 文 就 可 以 沿 着 LSP 
转发 。 这 里 回顾 MPLS 标 签 转发 流程 。 在 这 个 转发 过 程 中 Egress LER 
SWD 收 到 带 有 标签 1032 的 报 文 , 稍 先 弹出 标签 ， 然 后 根据 目的 I|P 地 址 
查找 路 由 表 ， 进 行 传统 的 中 转发 。 实 际 上 对 于 Egress LER， 收 到 的 标签 
1032 对 其 转发 来 讲 已 经 没有 意义 和 如 果 出 口 LER 只 进行 IP 报 文 的 转发 而 
不 再 分 析 标 签 和 弹出 标签 ， 那么 转发 的 效率 会 提高 。 所 以 可 以 在 倒数 第 
二 个 LSR SWC 上 弹出 标签 后 发 送 IP 报 文 给 Egress LER SWD， 这 样 
Egress LER SWD 就 不 必 处 理 标签 ， 而 是 直接 转发 IP 报 文 到 相应 目的 地 
即 可 。 这 样 减少 了 最 后 一 跳 的 负担 。 
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PHP 


PHP Penultimate Hop Popping 倒 数 第 二 跳 弹 出 





10.1.1.8/30 


MPLS Domain ; 





Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. 2 HUAWEI 


PHP (Penultimate Hop Popping) 倒数 第 于 跳 弹出 ， 可 以 使 得 标签 在 

倒数 第 二 跳 LSR 上 弹出 。 使 用 倒数 第 二 跳 弱 出 时 ， 倒 数 第 二 个 LSR 依 然 
根据 上 游 LSR 标 签 决定 向 哪里 转发 报 况 , 然后 直接 去 掉 标 签 ， 进 行 转发 
， 那 么 当 最 后 一 跳 LSR ( 即 Egress BRER) 收 到 这 个 报 文 时 ， 就 是 传统 的 
IP 报 文 了 ， 这 时 直接 进行 传统 的 IR 转 发 。 那 么 LSR 如 何 知 道 自己 是 倒数 
第 二 跳 呢 ? 倒数 第 一 跳 的 交换 机 将 为 其 分 配 一 个 特殊 的 标签 3。 
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PHP 配 置 与 实例 分 析 





({swcldisplay mpls Isp include 10.2.0.0 24 in-label 1030 \ 
| [SWD]mpls 


[SWD-mpls]label advertise implicit-null 


In/Out Label In/Out IF Vrf Name 
\10.2.0.0/24 1030/3 -/Vlanif3 








es 


1.1.1.1/32 2.2.2.2/32 3.3.3.3132 
B C 


A 
v1 
A 
Le] 
Er 
5 
[=] 
SS 
本 
已 


V1 V2 
10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 


MPLS Domain 
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LER 可 以 配置 3 种 不 同 的 标签 分 发 方式 , /以 通知 倒数 第 二 跳 LSR 是 否 应 
该 弹出 标签 。 

[SWD-mplsllabel advertise ? 

explicit-null explicit-null 

implicit-null implicit-null 

non-null non-null 

explicit-null 为 显 式 空 标签 ， 显 式 空 标签 值 为 0%。 这 个 值 只 有 出 现在 标签 
栈 底 时 才 有 效 ， 表 示 报 文 的 标签 在 分 配 该 标签 的 这 个 LSR ( 即 Egress 
LER) 上 必须 被 弹出 ， 然 后 对 此 报 文 进行 IP 转 发 ; 

标签 值 3 表示 隐 式 空 标签 (implicit-null) ， 这 个 值 不 会 出 现在 标签 栈 中 
。 当 一 个 LSR、( 倒 数 第 二 跳 LSR) 发 现 自己 被 分 配 了 隐 式 空 标签 时 ， 它 
并 不 用 这 个 值 蔡 代 栈 顶 原来 的 标签 ， 而 是 直接 执行 Pop 操 作 。 
non-null 表 示 不 使 用 PHP 特 性 ，Egress 节 点 向 倒数 第 二 跳 正 常 分 配 标 签 
。 缺 省 情况 下 ，Egress 节 点 向 倒数 第 二 跳 节 点 分 配 隐 式 空 标签 Implicit- 
nell。 

配置 解释 : 

[SWD-mplsllabel advertise implicit-null 
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配置 Egress 节 点 向 倒数 第 二 跳 节点 分 配 隐 式 空 标签 implicit-null。 该 配置 
为 缺 省 配置 。 

可 以 看 出 SWD 为 SWC 分 配 了 隐 式 空 标签 3，SWD 收 到 入 标签 为 1030 的 
报 文 ， 将 会 弹出 标签 1030， 仍 然后 发 送 IP 报 文 到 SWC。 
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PHP 配 置 与 实例 分 析 


7 \ 
<SWC>display mpls Isp include 10.2.0.0 24 in-label 1030 
局 二 





LSP Information: LDP LSP 


[SWD-mpls]jlabel advertise explicit-null 


\ 





FEC In/Out Label In/Out IF Vrf Name 
10.2.0.0/24 1030/0 -/Vlanif3 





1.1.1.1/32 2.2.2.2/32 3.3.3.3/32 
SWA SWB SWC 


v1 v1 V2 
10.1.1.0/30 10.1.1.4/30 10.1.1.8/30 


MPLS Domain 
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配置 解释 : 

[SWD-mplsjlabel advertise explicitsnull 

配置 Egress 节 点 向 倒数 第 二 跳 LSR 分 配 显 式 空 标签 explicit-null 。 

可 以 看 出 ，SWD 给 SWC 分 配 了 显 式 室 标 签 0，SWD 收 到 入 标签 为 0 的 报 
文 后 ， 由 于 标签 0 只 在 栈 底 出 现 ， 所 以 弹出 该 标签 ， 然 后 进行 |P 转 发 。 
如 果 是 其 他 普通 标签 还 要 判断 是 否 是 在 栈 底 ， 如 果 不 是 还 要 取 内 层 标签 
通过 Mpls 转 发 。 
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<SWC>dis lay mpls lsp include 10.2.0.0 24 in-label 1030 
[SwDjmpls 


LSP Information: LDP LSP [SWD-mplsjlabel non-null 4 


In/Out Label In/Out IF Vrf Name 
10.2.0.0/24 1030/1031  -/Vlanif3 
区 








1.1.1.1/32 2.2.2.2/32 3.3.3.3/32 
B C 


V1 V2 
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配置 解释 : 

[SWD-mplsjlabel advertise non-null 

表示 不 使 用 PHP 特 性 ，Egress 节 点 向 倒数 第 二 跳 正常 分 配 标签 。 
可 以 看 出 ，SWD 给 SWC 分 配 了 标签 031。 
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LDP 邻 居 发 现 机 制 有 哪 两 种 ， 分 别 有 什么 区 别 ? 


LDP 标 签 分 发 控制 和 保持 有 哪些 种 方式 ”分 别 有 什么 区 别 ? 
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答案 : 
MPLS 转 发 是 根据 什么 进行 数据 转发 的 ? 
。 MPLS 是 根据 标签 进行 数据 转发 的 。 
MPLS 常 见 应 用 有 哪些 ? 
。 MPLS VPN，MPLS QoS，MPLS TE。 
MPLS 封 装 有 哪些 方式 ， 各 自 应 用 范围 是 什么 ? 
。 帧 模式 和 信 元 模式 。Ethernet 和 PPP 使 用 帧 模式 封装 ，ATM 使 用 
信 元 模式 封装 s 





LDP 邻 居 发 现 机 制 有 哪 两 种 ， 分 别 有 什 么 区 别 ? 
。 基本 发 现 机 制 和 扩展 发 现 机 制 ， 基 本 发 现 机 制 用 来 发 现 同一 链 路 
竺 的 邻居 ， 扩 展 发 现 机 制 用 来 发 现 非 同一 链 路 上 的 邻居 。 
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四 令 庆 


， ~ 
在 线 学 习 资 料 支 持 
您 可 以 在 华为 企业 业务 网 站 获得 ELearning 课 程 、 培 训 教材 、 产 品 资料 、 软 件 工具 、 技 术 案 例 等 : 
1、E-Learning 课 程 : 登录 华为 疾 绪 常 习 网 益 ， 进 入 “ 允 为 克 荔 /在 绪 常 习 ” 栏 目 
免费 E-Learning 课 : 对 网 站 所 有 用 户 免费 开放 
职业 认证 E-Learning 课 : 通过 任何 一 项 职业 认证 即 可 学 习 所 有 职业 认证 培训 E-Learning 课 程 
渠道 赋 能 E-Learning 课 : 对 华为 企业 业务 合作 伙伴 免费 开放 
2、 培 训 教材 : 登录 华为 自 绪 党 习 克 益 ， 进 入 “华为 好 荔 [ 夯 盘 好 荔 ”， 在 具体 课程 页 面 即 可 下 载 教材 f 
华为 职业 认证 培训 教材 、 华 为 产品 技术 培训 教材 。 无 需 注册 即 可 下 载 
3、 华 为 在 线 公 开课 (LVC): http://support.huawei.com/ecommunity/bbs/10154479.html 
企业 网 络 、UC&C、 安 全 、 存 储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 公开 授课 
4、 产 品 资料 下 载 : El iii 二 
5、 软 件 工具 下 载 : http://support.huawei.comy/enterprise/#tabname=softwarecdewapload 











更 多 内 容 请 访问 : 
o http://learning.huawei.com/cn 
o http://support.hnuawei.com/enterprise/ 
o http://support.huawei.com/ecommunity/ 
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